인텔® 관리 엔진 중요 펌웨어 업데이트(Intel-SA-00086)
인텔® 관리 엔진(인텔® ME 6.x/7.x/8.x/9.x/10.x/11.x), 인텔® 신뢰 실행 엔진(인텔® TXE 3.0) 및 인텔® Server Platform Services(인텔® SPS 4.0) 취약성(Intel-SA-00086)
| 참고 | 이 문서에서는 인텔® Management Engine Firmware에서 발견된 보안 취약성과 관련된 문제에 대해 설명합니다. 이 문서에는 프로세서 쪽 채널 취약성(Meltdown/Spectre)과 관련된 정보가 포함되어 있지 않습니다 . Meltdown/Spectre 문제에 대한 정보를 찾고 있다면 사이드 채널 분석 팩트 및 인텔® 제품 으로 이동하십시오. |
외부 연구원이 식별한 문제에 대해 인텔은 펌웨어 탄력성 향상을 목적으로 다음과 같이 심층적이고 종합적인 보안 검토를 수행했습니다.
- 인텔® 관리 엔진 (인텔® ME)
- 인텔® 신뢰 실행 엔진 (인텔® TXE)
- 인텔® Server Platform Services (SPS)
인텔은 특정 PC, 서버 및 IoT 플랫폼에 잠재적으로 영향을 줄 수 있는 보안 취약성을 발견했습니다.
인텔 ME 펌웨어 버전 6.x-11.x를 사용하는 시스템, SPS 펌웨어 버전 4.0을 사용하는 서버, TXE 버전 3.0을 사용하는 시스템이 영향을 받습니다. 다음과 같은 특정 프로세서에서 이러한 펌웨어 버전을 찾을 수 있습니다:
- 1, 2, 3, 4, 5, 6, 7 및 8세대 인텔® 코어™ 프로세서 제품군
- 인텔® 제온® 프로세서 E3-1200 v5 및 v6 제품군
- 인텔® 제온® 프로세서 스케일러블 제품군
- 인텔® Xeon® W 프로세서
- 인텔 아톰® C3000 프로세서 제품군
- Apollo Lake 인텔 아톰® 프로세서 E3900 시리즈
- Apollo Lake 인텔® 펜티엄® 프로세서
- 인텔® 펜티엄® 프로세서 G 시리즈
- 인텔® 셀러론® G, N 및 J 시리즈 프로세서
파악된 취약성이 시스템에 영향을 미치는지 확인하려면 아래 링크를 통해 인텔 CSME 버전 감지 도구를 다운로드하고 실행합니다.
자주 묻는 질문들 섹션
사용 가능한 리소스
- 인텔 공식 보안 자료: 취약점에 대한 기술 세부 정보
Microsoft와 Linux* 사용자를 위한 리소스
시스템/마더보드 제조업체의 리소스
| 참고 | 가능한 경우 다른 시스템/마더보드 제조업체에 대한 링크가 제공됩니다. 제조업체가 목록에 없으면 필요한 소프트웨어 업데이트의 가용성에 대한 정보를 해당 제조업체에 문의하십시오. |
- ASRock: 지원 정보
- ASUS: 지원 정보
- Compulab: 지원 정보
- Dell Client: 지원 정보
- Dell Server: 지원 정보
- Fujitsu: 지원 정보
- GIGABYTE: 지원 정보
- HP Inc.: 지원 정보
- HPE 서버: 지원 정보
- 인텔® NUC 및 인텔® Compute Stick: 지원 정보
- 인텔® 서버: 지원 정보
- Lenovo: 지원 정보
- Microsoft Surface*: 지원 정보
- NEC: 지원 정보
- Oracle: 지원 정보
- Panasonic: 지원 정보
- Quanta/QCT: 지원 정보
- Siemens: 지원 정보
- Supermicro: 지원 정보
- Toshiba: 지원 정보
- Vaio: 지원 정보
Q: 인텔 CSME Version Detection Tool에서 내 시스템이 취약하다고 보고합니다. 뭐 할까요?
A: 인텔은 보안 자료 Intel-SA-00086에서 식별된 취약성을 해결하는 데 필요한 펌웨어와 소프트웨어 업데이트를 시스템 및 마더보드 제조업체에 제공했습니다.
최종 사용자에 대한 업데이트 제공 계획은 해당 시스템 또는 마더보드 제조업체에 문의하십시오.
일부 제조업체에서는 고객이 사용 가능한 소프트웨어 및 추가 정보를 얻을 수 있는 직접 링크를 인텔에 제공하고 있습니다(아래 목록 참조).
Q: 내 시스템 또는 마더보드 제조업체에 문의해야 하는 이유는 무엇입니까? 인텔이 내 시스템에 필요한 업데이트를 제공할 수 없는 이유는 무엇입니까?
A: 인텔은 시스템 및 마더보드 제조업체가 수행하는 관리 엔진 펌웨어 사용자 지정으로 인해 일반 업데이트를 제공할 수 없습니다.
Q: 내 시스템이 인텔 CSME 버전 감지 도구에 의해 취약할 수 있음(may be Vulnerable )으로 보고됩니다. 뭐 할까요?
A: 취약할 수 있음 상태는 일반적으로 다음 드라이버 중 하나가 설치되지 않았을 때 표시됩니다.
- 인텔® 관리 엔진 인터페이스 (인텔® MEI) 드라이버
- 인텔® Trusted Execution Engine Interface (인텔® TXEI) 드라이버
시스템에 맞는 드라이버를 구하려면 시스템 또는 마더보드 제조업체에 문의하십시오.
Q: 내 시스템 또는 마더보드 제조업체가 목록에 없습니다. 뭐 할까요?
A: 아래 목록은 인텔에 정보를 제공한 시스템 또는 마더보드 제조업체의 링크입니다. 제조업체가 표시되지 않는 경우 표준 지원 메커니즘(웹 사이트, 전화, 이메일 등)을 통해 지원을 요청하십시오.
Q: 공격자가 확인된 취약성을 악용하려면 어떤 액세스 유형이 필요합니까?
A: 장비 제조업체가 인텔이 권장하는 플래시 설명자 쓰기 보호를 활성화하는 경우, 공격자는 다음에서 식별된 취약성을 악용하기 위해 플랫폼의 펌웨어 플래시에 물리적으로 액세스 해야 합니다.
- CVE-2017-5705(영문)
- CVE-2017-5706(영문)
- CVE-2017-5707(영문)
- CVE-2017-5708(영문)
- CVE-2017-5709(영문)
- CVE-2017-5710 (영문)
- CVE-2017-5711 (영문)
제조 완료
공격자는 플랫폼의 플래시 메모리에 물리적으로 연결된 플래시 프로그래머를 통해 악성 펌웨어 이미지로 플랫폼을 수동으로 업데이트함으로써 물리적 액세스 권한을 얻습니다. 플래시 설명자 쓰기 보호는 일반적으로 제조 완료 시 설정되는 플랫폼 설정입니다. 플래시 설명자 쓰기 보호는 제조 완료 후 플래시 설정이 악의적으로 또는 비의도적으로 변경되지 않도록 보호합니다.
장비 제조업체가 인텔이 권장하는 플래시 설명자 쓰기 보호를 활성화하지 않는 경우, 공격자는 운영 커널 액세스(논리적 액세스, 운영 체제 링 0)이 필요합니다. 공격자가 악성 플랫폼 드라이버를 통해 플랫폼에 악성 펌웨어 이미지를 적용하여 식별된 취약성을 악용하려면 이 액세스 권한이 필요합니다.
CVE-2017-5712에서 파악된 취약성은 유효한 관리 인텔® 관리 엔진 자격 증명과 함께 네트워크를 통해 원격으로 악용될 수 있습니다. 유효한 관리 자격 증명이 없을 경우 취약성은 악용될 수 없습니다.
추가 지원이 필요한 경우 인텔 Customer Support 기관에 연락하여 온라인 서비스 요청을 제출하십시오.