インテル® マネジメント・エンジンの重要なファームウェア・アップデート (Intel-SA-00086)

ドキュメント

トラブルシューティング

000025619

2023/11/13

インテル® マネジメント・エンジン (インテル® ME 6.x/7.x/8.x/9.x/10.x/11.x)、インテル® トラステッド・エグゼキューション・エンジン (インテル® TXE 3.0)、および インテル® Server Platform Services (インテル® SPS 4.0) の脆弱性 (Intel-SA-00086)

メモ この記事では、インテル® Management Engine Firmwareで見つかったセキュリティの脆弱性に関連する問題について説明します。この記事に、プロセッサーのサイドチャネルの脆弱性 (「Meltdown」/「Spectre」と呼ばれるもの) に関する情報は 記載されていません 。「Meltdown」/「Spectre」の問題に関する情報をお探しの場合は、 サイドチャネル解析に関する事実とインテル®製品について をご覧ください。

インテル社は、外部の研究者の指摘を受け、ファームウェアの更新と強化を目的として、以下のように問題点の詳細かつ包括的なセキュリティー・レビューを実行しています。

  • インテル® マネジメント・エンジン (インテル® ME)
  • インテル® トラステッド・エグゼキューション・エンジン (インテル® TXE)
  • インテル® Server Platform Services (SPS)

インテルは、特定の PC、サーバー、IoT プラットフォームに影響を与える可能性のあるセキュリティーの脆弱性を確認しています。

インテル MEファームウェアバージョン6.x〜11.xを使用するシステム、SPSファームウェアバージョン4.0を使用するサーバー、およびTXEバージョン3.0を使用するシステムが影響を受けます。これらのバージョンのファームウェアは以下のプロセッサーで使用されています。

  • 第 1、第 2、第 3、第 4、第 5、第 6、第 7、第 8 世代 インテル® Core™ プロセッサー・ファミリー
  • インテル® Xeon® プロセッサー E3-1200 v5 / v6 製品ファミリー
  • インテル® Xeon® プロセッサー・スケーラブル・ファミリー
  • インテル® Xeon® Wプロセッサー
  • Intel Atom® C3000 プロセッサー・ファミリー
  • Apollo Lake Intel Atom® プロセッサー E3900 シリーズ
  • Apollo Lake インテル® Pentium® プロセッサー
  • インテル® Pentium® プロセッサー G シリーズ
  • インテル®Celeron® G / N / J シリーズ・プロセッサー

発見された脆弱性がお使いのシステムに与える影響を確認するには、以下のリンクから インテル CSME バージョン検出ツールをダウンロードして実行してください。

よくある質問セクション

利用可能なリソース

Microsoft および Linux* ユーザー向けリソース

システム / マザーボード製造元からのリソース

メモ その他のシステム / マザーボードの製造元のリンクは、利用可能になった時点で提供いたします。お使いの製造元が一覧にない場合は、必要なソフトウェア・アップデートの提供状況について直接お問い合わせください。


よくある質問:

Q: インテル CSME バージョン検出ツールで、システムが脆弱であると報告されました。どうしようか。
A:
インテルは、セキュリティー・アドバイザリー Intel-SA-00086 で特定された脆弱性を解決するために必要なファームウェアとソフトウェアのアップデートをシステムおよびマザーボードの製造元に提供しています。

エンドユーザーに対するアップデート提供予定については、お使いのシステムまたはマザーボードの製造元にお問い合わせください。

製造元によっては、追加の情報と利用可能なソフトウェア・アップデートをお客様が入手できるリンクをインテルに提供しています (下記リストをご覧ください)。

Q: どうしてシステムまたはマザーボードの製造元に問い合わせ必要があるのでしょうか。システムに必要なアップデートをインテルが提供しないのはどうしてですか。
A:
システムおよびマザーボードの製造元がマネジメント・エンジン・ファームウェアのカスタマイズを行っているため、 インテルでは一般的な アップデートを提供できません。

Q: インテル CSME バージョン検出ツールでシステムが 脆弱である可能性がある と報告されました。どうしようか。
A:
[ 脆弱 ] の状態は、通常、次のドライバーのいずれかがインストールされていない場合に表示されます。

  • インテル® マネジメント・エンジン・インターフェイス (インテル® MEI) ドライバー
または
  • インテル® Trusted Execution Engine Interface (インテル® TXEI) ドライバー

システムに合ったドライバーを入手するには、お使いのシステムまたはマザーボードの製造元にお問い合わせください。

Q: 使用しているシステムまたはマザーボードの製造元がリストにありません。どうしようか。
A:
以下のリストは、インテルに情報を提供したシステムまたはマザーボードの製造元からのリンクを示しています。お使いの製造元がリストにない場合には、通常のサポート方法 (Web サイト、電話、メールなど) を使用して直接お問い合わせください。

Q: 発見された脆弱性を悪用する攻撃者は、どのような種類のアクセスを試みるのですか。
A:
機器メーカーがインテル推奨の Flash Descriptor 書き込み保護を有効にしている場合、攻撃者が確認された脆弱性を利用するには、プラットフォームのファームウェア・フラッシュに 物理的にアクセスする 必要があります。

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

製造完了

そのプラットフォームのフラッシュメモリーに物理的に接続されたフラッシュ・プログラマーを通じ、攻撃者は悪意のあるファームウェア・イメージを仕込んでプラットフォームを手動アップデートし、物理アクセス権限を取得します。Flash Descriptor 書き込み保護とはプラットフォームの設定で、通常 製造完了 時に設定されます。Flash Descriptor 書き込み保護を設定する目的は、製造完了後にフラッシュが攻撃目的または不注意で改変されることを防ぐことです。

製造元がインテル推奨の Flash Descriptor 書き込み保護を有効にしていない場合、攻撃者が必要とするのはオペレーティング・カーネル・アクセス (論理アクセス、オペレーティング・システム・リング 0) です。攻撃者が悪意のあるプラットフォーム・ドライバーで該当プラットフォームに悪意のあるファームウェア・イメージを適用し、確認された脆弱性を悪用するにはこのアクセス権限が必要となります。

CVE-2017-5712で確認された脆弱性は、有効な管理者インテル® マネジメント・エンジンクレデンシャルと組み合わせて、ネットワーク経由で リモートで 悪用される可能性があります。有効な管理権限が利用可能でない場合、この脆弱性を悪用することはできません。

さらにサポートが必要な場合は、 インテル Customer Support に連絡してオンライン・サービス・リクエストを送信してください。