Actualización crítica del firmware de Motor de administración Intel® (Intel-SA-00086)

Documentación

Resolución de problemas

000025619

13/11/2023

Vulnerabilidad Motor de administración Intel® (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Motor de ejecución de confianza Intel® (Intel® TXE 3.0) y Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

Nota En este artículo se describen los problemas relacionados con las vulnerabilidades de seguridad que se han encontrado en el Intel® Management Engine Firmware. Este artículo no contiene información relacionada con la vulnerabilidad del canal lateral del procesador (conocida como Meltdown/Spectre). Si busca información sobre el problema Meltdown/Spectre, vaya a Datos de análisis del lado del canal y productos Intel®.

En respuesta a los problemas identificados por investigadores externos, Intel ha realizado una revisión de seguridad exhaustiva de lo siguiente con el objetivo de mejorar la capacidad de recuperación del firmware:

  • Motor de administración Intel® (Intel® ME)
  • Motor de ejecución de confianza Intel® (Intel® TXE)
  • Intel® Server Platform Services (MSF)

Intel ha identificado vulnerabilidades de seguridad que podrían potencialmente afectar a determinadas PC, servidores y plataformas de IoT.

Los sistemas que utilizan Intel ME firmware versiones 6.x-11.x, los servidores que utilizan el firmware SPS versión 4.0 y los sistemas que utilizan TXE versión 3.0 se han visto afectados. Es posible que encuentre estas versiones de firmware en ciertos procesadores de:

  • Familias de procesadores Intel® Core™ de 1ª, 2ª, 3ª, 4ª, 5ª, 6ª, 7 y 8ª generación
  • Familia de productos del procesador Intel® Xeon® E3-1200 v5 y v6
  • Familia de procesadores escalables Intel® Xeon®
  • Procesador Intel® Xeon® W
  • Familia de procesadores Intel Atom® C3000
  • Procesador Apollo Lake Intel Atom® serie E3900
  • Apollo Lake procesadores Intel® Pentium®
  • Procesador Intel Pentium® serie G
  • Procesadores Intel® Celeron® series G, N y J

Para determinar si las vulnerabilidades identificadas afectan a su sistema, descargue y ejecute la herramienta de detección de versiones de Intel CSME utilizando los enlaces a continuación.

Sección de preguntas más frecuentes

Recursos disponibles

Recursos para usuarios de Microsoft y Linux*

Recursos de los fabricantes de sistemas/motherboards

Nota Cuando estén disponibles, se proporcionarán vínculos de otros fabricantes de sistemas o motherboards. Si el fabricante no aparece, póngase en contacto con él para obtener información sobre la disponibilidad de la actualización de software necesaria.


Preguntas más frecuentes:

P: La Herramienta de detección de versiones de Intel CSME informa que mi sistema es vulnerable. ¿Qué debo hacer?
R:
Intel proporcionó a los fabricantes de sistemas y motherboards las actualizaciones de software y firmware necesarias para resolver las vulnerabilidades identificadas en el aviso de seguridad Intel-SA-00086.

Póngase en contacto con el fabricante del sistema o la motherboard en relación con sus planes para poner las actualizaciones a disposición de los usuarios finales.

Algunos fabricantes han proporcionado a Intel un enlace directo para que sus clientes obtengan información adicional y las actualizaciones de software disponibles (consulte la lista a continuación).

P: ¿Por qué debo ponerme en contacto con el fabricante del sistema o la motherboard? ¿Por qué Intel no puede proporcionarme la actualización necesaria para mi sistema?
R:
Intel no puede proporcionar una actualización genérica debido a las personalizaciones del firmware del motor de administración realizadas por los fabricantes del sistema y de la motherboard.

P: La Herramienta de detección de versiones de Intel CSME reporta que mi sistema podría ser vulnerable . ¿Qué debo hacer?
R
: Por lo general, aparece el estado Vulnerable cuando no está instalado alguno de los siguientes controladores:

  • controlador Interfaz del motor de administración Intel® (Intel® MEI)
O
  • controlador Intel® Trusted Execution Engine Interface (Intel® TXEI)

Póngase en contacto con el fabricante del sistema o la motherboard para obtener los controladores correctos para su sistema.

P: El fabricante de mi sistema o motherboard no aparece en la lista. ¿Qué debo hacer?
R:
La siguiente lista muestra vínculos de fabricantes de sistemas o motherboards que han proporcionado información a Intel. Si el fabricante no aparece, póngase en contacto con él utilizando sus mecanismos de asistencia estándar (sitio web, teléfono, correo electrónico, etc.) para recibir ayuda.

P: ¿Qué tipos de acceso necesitaría un atacante para explotar las vulnerabilidades identificadas?
R
: Si el fabricante del equipo habilita la protección de escritura Descriptor Flash recomendada por Intel, un atacante necesita acceso físico a la memoria flash de firmware de la plataforma para aprovechar las vulnerabilidades identificadas en:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

Fin de fabricación

El atacante obtiene acceso físico al actualizar manualmente la plataforma con una imagen de firmware maliciosa a través de un programador flash físicamente conectado a la memoria flash de la plataforma. La protección de escritura Descriptor Flash es una configuración de plataforma que se establece normalmente al final de la fabricación. La protección de escritura Descriptor Flash impide que la configuración en la memoria Flash sea modificada de manera malintencionada o involuntaria después de que se haya completado la fabricación.

Si el fabricante del equipo no habilita la protección de escritura Descriptor Flash recomendada por Intel, un atacante necesita acceso al kernel operativo (acceso lógico, anillo de sistema operativo 0). El atacante necesita este acceso a aprovechar las vulnerabilidades identificadas aplicando una imagen de firmware maliciosa a la plataforma a través de un controlador de plataforma malicioso.

La vulnerabilidad identificada en CVE-2017-5712 se puede explotar de forma remota en la red junto con una credencial de Motor de administración Intel® administrativo válida. La vulnerabilidad no se puede explotar si no hay disponible una credencial administrativa válida.

Si necesita más ayuda, póngase en contacto con Intel Customer Support para enviar una solicitud de servicio en línea.