英特尔管理引擎,解释:CPU内的微型计算机

自2008年以来,英特尔管理引擎就已包含在英特尔芯片组中。它基本上是一台微型计算机,可以完全访问PC的内存,显示器,网络和输入设备。它运行由Intel编写的代码,并且Intel尚未分享有关其内部工作原理的大量信息。

由于英特尔于2017年11月20日宣布了安全漏洞,因此该软件(也称为英特尔ME)突然出现在新闻中。如果系统易受攻击,则应修补该系统。该软件具有深入的系统访问权限,并且在具有Intel处理器的每个现代系统中都可以使用,这意味着它是攻击者的多汁目标。

什么是英特尔ME?

那么,什么是英特尔管理引擎?英特尔提供了一些常规信息,但它们避免解释英特尔管理引擎执行的大多数特定任务以及它的工作方式。

正如英特尔所说,管理引擎是“小型,低功耗计算机子系统”。它“在系统处于睡眠状态,引导过程中以及系统运行时执行各种任务”。

换句话说,这是一个运行在隔离芯片上的并行操作系统,但是可以访问您的PC硬件。它会在您的计算机处于睡眠状态,正在启动时以及在您的操作系统运行时运行。它具有对系统硬件的完全访问权限,包括系统内存,显示器的内容,键盘输入甚至网络。

现在我们知道英特尔管理引擎运行MINIX操作系统。除此之外,运行在英特尔管理引擎中的精确软件还是未知的。这是一个小黑盒子,只有英特尔确切地知道里面的东西。

什么是英特尔主动管理技术(AMT)?

除了各种底层功能之外,英特尔管理引擎还包括英特尔主动管理技术。 AMT是用于具有Intel处理器的服务器,台式机,笔记本电脑和平板电脑的远程管理解决方案。适用于大型组织,而非家庭用户。默认情况下未启用此功能,因此它并不是真正的“后门”,正如某些人所说的那样。

AMT可用于使用Intel处理器远程开机,配置,控制或擦除计算机。与典型的管理解决方案不同,即使计算机未运行操作系统,此方法也可以使用。英特尔AMT作为英特尔管理引擎的一部分运行,因此组织可以在不运行Windows操作系统的情况下远程管理系统。

2017年5月,英特尔宣布对AMT进行远程利用,使攻击者无需提供必要的密码即可访问计算机上的AMT。但是,这只会影响那些不愿意启用Intel AMT的人们-再次,这不是大多数家庭用户。只有使用AMT的组织才需要担心此问题并更新计算机的固件。

此功能仅适用于PC。尽管具有Intel CPU的现代Mac也具有Intel ME,但它们不包括Intel AMT。

你可以禁用它吗?

您无法禁用英特尔ME。即使您在系统的BIOS中禁用了Intel AMT功能,Intel ME协处理器和软件仍处于活动状态并正在运行。目前,它已包含在所有装有Intel CPU的系统中,并且Intel没有提供禁用它的方法。

尽管英特尔没有提供禁用Intel ME的方法,但其他人已经尝试过禁用它。不过,这并不像轻弹一下开关那样简单。积极进取的黑客已经设法禁用了Intel ME,Purism现在提供笔记本电脑(基于较旧的Intel硬件),默认情况下禁用了Intel Management Engine。英特尔可能对这些努力不满意,并将使将来禁用英特尔ME的工作变得更加困难。

但是,对于普通用户而言,禁用Intel ME基本上是不可能的-这是设计使然。

为什么要保密?

英特尔不希望其竞争对手知道管理引擎软件的确切运作方式。英特尔似乎也在这里采用“默默无闻的安全性”,试图使攻击者更加难以了解和发现英特尔®ME软件的漏洞。但是,正如最近的安全漏洞所显示的那样,模糊性安全性并不是保证的解决方案。

这不是任何形式的间谍软件或监视软件,除非组织启用了AMT并使用它来监视自己的PC。如果英特尔管理引擎在其他情况下正在与网络联系,那么借助Wireshark之​​类的工具,我们可能会听说过该工具,该工具使人们可以监视网络上的流量。

但是,像Intel ME这样的软件,如果不能被禁用且为封闭源,肯定存在安全隐患。这是另一种攻击途径,而且我们已经看到了英特尔ME的安全漏洞。

您的计算机的Intel ME容易受到攻击吗?

2017年11月20日,英特尔宣布第三方安全研究人员发现了英特尔ME中的严重安全漏洞。这些漏洞既包括允许本地访问的攻击者通过完全系统访问运行代码的缺陷,又包括允许远程访问的攻击者通过完全系统访问运行代码的远程攻击。目前尚不清楚他们将利用多大的难度。

英特尔提供了一种检测工具,您可以下载该工具并运行该检测工具,以查看计算机的英特尔ME是否容易受到攻击,或者是否已修复。

要使用该工具,请下载Windows的ZIP文件,将其打开,然后双击“ DiscoveryTool.GUI”文件夹。双击“ Intel-SA-00086-GUI.exe”文件以运行它。同意UAC提示,系统会提示您PC是否容易受到攻击。

有关的:什么是UEFI,它与BIOS有何不同?

如果您的PC容易受到攻击,则只能通过更新计算机的UEFI固件来更新Intel ME。您计算机的制造商必须向您提供此更新,因此请检查制造商网站的“支持”部分,以查看是否有可用的UEFI或BIOS更新。

英特尔还提供了一个支持页面,其中包含指向不同PC制造商提供的更新信息的链接,并且随着制造商发布支持信息,他们将不断对其进行更新。

AMD系统具有类似的名为AMD TrustZone的名称,该名称运行在专用的ARM处理器上。

图片提供:Laura Houser。


$config[zx-auto] not found$config[zx-overlay] not found