當前位置：安全 → 企業動態 → 正文

CPU漏洞危及全球真相只有英特爾自己知道

責任編輯：editor006 |來源：企業網D1Net 2017-11-22 17:17:55 本文摘自：威鋒網

在本月月初，安全公司 Positive Technologies 發布報告稱，英特爾管理引擎（Intel Management Engine，以下簡稱 IME）存在嚴重漏洞，黑客能夠通過該漏洞完全控制目標計算機，甚至關機狀態下都可以。這一新聞當時就在圈內引起了一陣恐慌，因為這意味著全世界絕大多數 PC 都成了被攻擊的潛在對象，而今天英特爾的一則聲明更是讓人背后發涼：

英特爾承認公司最近數年售出的PC芯片全部存在多個嚴重的軟件安全缺陷，包括2015年以后推出的第六代、第七代以及最新的第八代酷睿芯片。

那么這個漏洞的危險性究竟有多高？

讓我們先來認識一下 IME，IME 最開始是用來監控、協調處理器芯片組中諸多模塊的，以獲得最好的性能和功耗平衡。而后期英特爾又為其賦予了檢查操作系統、管理員遠程控制（企業中經常會用到），還有從應用更新到故障排除等等一系列功能。英特爾也在官網中表示系統出現任何問題都不可能是 IME 的故障，因為 IME 本質上運行在一顆微處理器上，也側面證明了 IME 確實是可以完全獨立運行的。

可能還是有朋友不理解，為什么一塊負責運算的 CPU 也會出現漏洞呢？其實 IME 一開始并不在 CPU 中的，隨著越來越多的越來越多的芯片、功能被集成到 CPU 的芯片組中，酷睿處理器早就不只是一個負責計算的工具了，反而更像是移動 SoC 那樣的芯片組，而 IME 也隨著這個過程進入了 CPU 之中，位于南橋 PCH 芯片組中。

正因如此，有不少人會以為 IME 的這個漏洞會擁有最高的運行權限，也就是 Ring -3 （我們平時用的軟件權限為 Ring 3，最低；操作系統為 Ring 0，較高；而 BIOS 的權限是 RING -2），如果運行 IME 的權限為Ring -3，那一旦被控制，真的是可以為所欲為了，用戶甚至連訪問黑客植入的惡意軟件都做不到，更別說清除了。

甚至還有人認為，這樣擁有最高權限的漏洞，很有可能就是英特爾故意留的后門。畢竟英特爾早在2008年就已經開始使用 IME 技術了，而因為這項技術能夠獨立于系統和其他硬件來完成一些管理任務，并且用戶無法移除它（因為它是物理存在的，你只能關掉它的固件），所以電子前沿基金會（EFF）一直很反對在 CPU 中使用 IME。可是英特爾一直特立獨行，直到這次東窗事發，這么看來確實值得懷疑。

我們該怎么對待這個漏洞呢？

雖然對于 IME 的質疑從來沒有間斷過，但是知道今年安全公司 Positive Technologies 表示他們已能夠通過 USB 接口，在運行 IME 的計算機上執行未經簽名的代碼，這才引起了英特爾的重視，然后在近日發布了聲明。

其實早在這家安全公司發布聲明之前，谷歌就已經發現 IME 運行的是一個名為 MINIX 的操作系統，正是它獲取了 Ring -3權限，而谷歌一直都在嘗試著從自家服務器的 CPU 中移除 MINIX，但是卻沒能成功。而在這次英特爾宣布 IME 存在漏洞之后，谷歌也第一時間停止了 IME 固件。

而英特爾自己表示，他們已經開發了補丁軟件來修復問題，現在已經有聯想和戴爾提供了修復固件，并且還建議企業、用戶應該與設備制造商和供應商核實系統升級情況，并且盡快進行任何可用的升級。不過對于實在不放心的用戶來說，直接關閉掉 IME 也是不錯的選擇，在設備管理器中就能找到它哦！

如果你連關閉固件也不放心，那考慮不含 IME 組件的產品或者是轉投AMD 或許也不錯，舊金山就有一家名為 Pruism 的公司主打禁用 IME 的筆記本產品，該公司 CEO 表示 Purism 之所以很早就禁用了 IME，是因為他們知道 IME 從威脅變成現實只是時間上的問題，一名攻擊者可以再不借助任何高級軟硬件的情況下完全控制一臺計算機，不管是加密存儲、密碼密匙、機密文件全都無所遁形。

　　這事情背后究竟是什么，只有英特爾知道了

不過話說回來，雖然 IME 確實是一個非常嚴重的漏洞，但是是不是真的能有大家說的那么可怕其實還是要打上一個問號，有專業人士表示，雖然 IME 存在于 CPU 芯片組中，但兩者其實是獨立工作的，所以 IME 或許并不能控制 CPU。

而且我們的 PC 中每個硬件其實都會有固件，比如網卡、顯卡等等，只不過 IME 存在于芯片組中所以格外受關注，但其實英特爾芯片組中還有英特爾服務器平臺（Server Platform）和英特爾可信執行引擎（Trusted Execution Engine）等部分呢，不少大神認為固件存在漏洞是非常正常的事情。