第6〜8世代Coreプロセッサなどに脆弱性、Intelがチェックツールを公開 51
ストーリー by hylom
たびたび言われているMEの危険性 部門より
たびたび言われているMEの危険性 部門より
Intelの第6〜8世代CoreプロセッサやXeon、Pentium、Celeronプロセッサなどに脆弱性が発見された(Intel、4gamer)。
Intelの最近のCPUには「Intel Management Engine」などの管理機構が搭載されているが、今回の脆弱性はそれらに関するもののようだ。これによって外部からシステムを遠隔操作される可能性があるという(US-CERTの発表)。
Intelは対応として「intel-sa-00086 検出ツール」という使用しているシステムに脆弱性があるかどうかを判断できるツールを公開した。ただ、このツールでは脆弱性があるかどうかの判断のみが可能で、修正にはPCやマザーボードメーカーが提供するファームウェアアップデートが必要だという。
ME脆弱性 (Intel SA-00086) リスク軽減策 (スコア:3, 参考になる)
単なる陰謀論だと切り捨てられそうだけど、ME (Intel Management Engine) には複数のバックドアが仕組まれている疑いが強い。その詳細やソースコードにアクセスできるのは Intel の中の限られた極一部の人だけで、Google も MEの機能を削除すべきだと警鐘 [impress.co.jp] するほどである。一般人は ME を無効化することが許されていないが、米国家安全保障局 (NSA) は reserve_hap ビットを1にすることで ME を無効化している [cnet.com] ことも、ME の潜在的危険性を裏付けているといえよう。
本当は ME を無効化するのが最善の対策である。しかし、ME には自分自身を無効化・排除しようとするユーザから自らを守るため何重ものセルフディフェンス機構が搭載されており、MEを排除しようとすると、そのチップセットを動作不能化=文鎮化してしまう。なので、一般人にできるのは ME の存在を許したままで、脆弱性やバックドア悪用のリスクを軽減させる対策のみである。その対策を述べる。
Intel-SA-00086 は複数の脆弱性の集合である。列挙すると、CVE-2017-5705, CVE-2017-5708, CVE-2017-5711(AMTの脆弱性だが要ローカルアクセス), CVE-2017-5712, CVE-2017-5706, CVE-2017-5709, CVE-2017-5707, CVE-2017-5710 と8種類もあるのだが、そのうちリモートから悪用できるのは CVE-2017-5712 のみ である。
スパイされるような機密を持っていない一般人でも、これだけは対策しておくべきだ。
まず、この脆弱性の影響を受けるハードウェアは限定される。Intel AMT (Intel Active Management Technology) は、マザーボードとCPUの両方がvPro対応でないと使えない。vPro対応マザーボードは一般向けではほとんど使われていないので大半の場合はそもそも影響がない。もし CPUとマザービードが両方とも vPro 対応だった場合には、BIOSの設定でAMTを無効にすればリモートから脆弱性が悪用される心配はなくなる。
ついでに、ローカルアクセスが必要なAMTの脆弱性 CVE-2017-5711 の悪用も防げる。
ここまでの対策で、リモートからの攻撃は防げるので多くの人は安心するかもしれない。しかし、システムへのローカルアクセスを持つ攻撃者による任意のコード実行できる ME の脆弱性 CVE-2017-5705, CVE-2017-5708 も恐ろしい。Windows でマルウェアを実行してしまうと、スパイウェアがOSより下のスタックのレベル(BIOSレベル)にインプラントされ、OSの再インストールやSSDの初期化後にもそのまま残る 恐れがある。こうなってしまうと、ウイルス対策ソフトでもそのスパイウェアを検出することができないし、メモリ上のデータを読み取ってVeraCrypt・TrueCryptなどの暗号鍵を盗み取るなどの高度なスパイ行為に悪用されるかもしれない。
この対策は簡単である。BIOS より上のスタックレベルであるところの Windows などから Intel Management Engine (ME) にアクセスするための API を封鎖すれば良い。BIOSによってやり方は違う、American Megatrends のBIOSなら Chipset → ME Configuration → ME Control → Disable である。
ME Control を無効化すれば、OS から MEにアクセスできなくなるので、Windows 等のOS上で実行したマルウェアが ME のバッファーオーバーフロー脆弱性を悪用することもできなくなる。この状態であれば、Intel-SA-00086 Detection Tool [intel.com] から ME のバージョン情報を取得することもできない。
マザーボード設定で ME Control が有効の場合
Re: (スコア:0, フレームのもと)
文体なんかより現実と妄想を混ぜて語るのを辞めようか。スラドでは時々みるけど、妄想だけの人よりたちが悪い。
まず、GoogleがMEの機能を削除すべきと言ったのは今回みたいな脆弱性が発見された場合のリスクを考えてであって、バックドアが仕込まれているからじゃない。
前のストーリーや今回のコメントからたどればGoogleの資料読めるから見てくると良い。バックドアなんて一言も書かれてない。
> ME には自分自身を無効化・排除しようとするユーザから自らを守るため何重ものセルフディフェンス機構が搭載されており
なんて事実はない。単にコンポーネント化して切
Re:ME脆弱性 (Intel SA-00086) リスク軽減策 (スコア:2, 参考になる)
Intelが意図的に「セルフディフェンス機構」なんてものを組み込んでると言うのなら信頼できるソースを。
Replace your exploit-ridden firmware with a Linux kernel [schd.ws]
Ron Minnich, Gan-shun Lim, Ryan O'Leary, Chris Koch, Xuan Chen Google 他
MEを削除すると電源を入れてから30分でシステムがダウンする罠が発動する
「May power on, but will turn off in thirty minutes」
me_cleaner README.md [github.com]にも、me_cleaner開発時にこのシャットダウンへの対処に苦戦した様子の記述有り
Re: (スコア:0)
それは、本来アクセスされないファイルが削除されたから、改竄と判断してシャットダウンしているだけのセキュリティ機構か、単に起動に必要な機能を削除しちゃったから、どこかのタイミングでエラーが起きて再起動するってだけではないですか?
Intelが削除させないために仕組んだって判断できる根拠って誰か示してます?
必要ない人もいる機能を削除できない設計が悪いって言うのには同意しますが、それと、悪意を持って削除を妨害していると言うのは全然別の話ですし。
Re:ME脆弱性 (Intel SA-00086) リスク軽減策 (スコア:1)
https://github.com/corna/me_cleaner/wiki/How-does-it-work%3F [github.com] によると、MEは何重にもモジュールの整合性・ハッシュ値・署名のチェックをして INVALID だとシステムを停止させるとある。
なので、スレ主の「ME には自分自身を無効化・排除しようとするユーザから自らを守るため何重ものセルフディフェンス機構が搭載されており、MEを排除しようとすると、そのチップセットを動作不能化=文鎮化してしまう。」って文は動作としては間違ってない。
しかし「守るため」の機構だと決めつけてるのが問題で、結果として「自分自身を無効化・排除しようとするユーザから自らを守る」動作をしてたとしても、それが目的のチェックだとは限らない(「マルウェアによる改竄から自らを守るため」かもしれない)。
Re: (スコア:0)
> 悪意を持って削除を妨害している
そんなの悪魔の証明でしょ
んなこといったら、DS版ドラゴンクエスト5のコピープロテクトが話題に [srad.jp] だって、スクエニが意図して仕組んだことを認めてないから、「コピーガード」じゃなくて「バグ」なの?
どういう意図なのかなんて、そのコードを書いた人以外誰も分からない
現実の裁判でも犯行の動機なんていうのは本当に真実なのか裁判官でも分からないまま勝手に推測して判決出してる
Re: (スコア:0)
そもそも、こいつはIntelをなんだと思ってるんだ
Intelがバックドア仕込むならこんな分かり易いソフト部分じゃなくて、ハードに組み込むに決まってるだろ
なにが悲しくてわざわざ探してくださいって場所にバックドア組み込むんだよ
実際IntelのCPUの乱数生成器を暗号化の種に使うのはまずいんじゃないかって議論になった事もある
Re: (スコア:0)
https://www.techrepublic.com/article/is-the-intel-management-engine-a-... [techrepublic.com]
> Various sources report that Intel's latest x86 chips contain a secret backdoor.
https://cpplover.blogspot.jp/2015/12/libreboot-t400.html [blogspot.jp]
> 悪名高いバックドア実装用実行環境であるIntel Management Engine
発見された
Re: (スコア:0)
上の記事は#3318115と同じで、根拠示さず存在がバックドアだ、見たいな論調ですし。
下の記事は、何にでもそう言う事言って噛みつくのが芸風の江添さんなので、こう言った議論で根拠に持ってこられても……。
Re: (スコア:0)
これがマイナスモデってなんで?
内容も文体も問題ないと思うけど。
Re: (スコア:0)
ここ数日、スラドで速攻で変なマイナスモデ付く事のをよく見ます。暫くすると、元に戻ってますが。
元編集で無限モデ権持ってる人が暴れてるとかなんですかね?
Re:ME脆弱性 (Intel SA-00086) リスク軽減策 (スコア:2)
元編集の人って編集権解除された時点でモデ権も一般ユーザ並みに戻るのでは?
Re: (スコア:0)
この手の音便の間違いは孤立語話者によく見られるパターンなので
おそらくチャイナフォビアのモデレーターによるマイナスモデと思われる
Re: (スコア:0)
ただの書き間違えとは思えないのか?
「浅いな」「浅いので」みたいな書き方を選んでる時に
半端に削除して前の分の痕跡が残ることはよく有るぞ。
何度も読み返せば気付くけど
ネットの書き捨てにいちいちそこまでやらんぜオレなら。
Re: (スコア:0)
幼女キャラにもよく見られるパターンなので、勝手に萌えていました。
Re: (スコア:0)
> ソースが公開されていないのをしきりに言ってるけど、MEに載ってるMINIXなんて小さなものだから、逆アセンブルして読む人が読めば現実的な時間でバックドアの有無位分かるよ。
> と言うか、そういう人たちが精査した結果reserve_hap ビットが見つかったわけだから。
MEって初期から散々危険だと騒がれてて、セキュリティ専門家が必死になってバックドア探してたんだけど、それでも今回の脆弱性が見つかるまで数年かかってるじゃん
逆アセンブルしたぐらいでバックドアが簡単に見つかったら苦労しねーよ
> 少なくとも現時点でバックドアがある可能性はほぼゼロ。
何言ってるんだか
過去にMEで何度もバックドアとして使える脆弱性が発見されてるの知らないの?
二度あることは三度あるよ
「今回Windowsの脆弱性が発見されてパッチがあたったから現時点でWindowsにバックドアがある可能性はほぼゼロ」っていうぐらい馬鹿らしい論理なのが分からないの?
Re: (スコア:0)
> 今回の脆弱性が見つかるまで数年
今回の脆弱性が載ったMINIXベースのME11が出てから数年もたってないと思うんですが。
> 過去にMEで何度もバックドアとして使える脆弱性が発見されてるの知らないの?
バックドアとバックドアとして使える脆弱性を混同してはいけません。
バックドアとして使える脆弱性については、(#3318133)も否定してないですよね。
それを、Intelが仕込んだバックドアって証拠も無しに確定情報の様に言う事を突っ込んでるだけで。
脆弱性についてはセキュリティ研究者が警戒してるって書いてありますよ。
Re: (スコア:0)
今回の脆弱性が載ったMINIXベースのME11が出てから数年もたってないと思うんですが。
・ 数年 [goo.ne.jp]
辞書ソース: 2、3か5、6ぐらいの年数。
知恵袋ソース: 若い人は2~3、中年以降は5~6の意味で使う傾向にあるらしい
・脆弱性対象 [impress.co.jp]
第6世代/第7世代/第8世代Coreプロセッサー・ファミリー
Skylakeの6700Kなら2015年8月5日発売
2年3カ月以上経ってるから「数年」で合ってる
バックドアかどうかについては、故意に仕込めばバックドア、過失ならばバグ、い
Re: (スコア:0)
でかした!おまえ!ほうびをトラスレータ
MINIXが動いている部分か (スコア:1)
危惧されていたのが現実になってしまったか
マーフィーの法則だな
Re:MINIXが動いている部分か (スコア:3)
ああ、こいつはMimicsだ。
宝箱だと思っていたら、痛い目にあう。
Re: (スコア:0)
だからあれほどMINIXはゆみみみっくすを起動する為だけに使えと言われてたのに・・・
# ゆみみMINIXと言いたいだけ、なんて事は多分事実。うじゃうじゃ。
調べてみました (スコア:1)
手元のマシン調べたら該当世代全て対象でした。この世代のCPUはアップデートしてなければ全て対象なのかもしれません。
Linux版は、Intel(R) MEI/TXEI driverいれないと、実行できません。それと、マニュアルがPDFなので、コンソールだけのサーバーだと読めません。
$ ./intel_sa00086.py
だけなので、テキストファイルのドキュメント位、入れておいて欲しい所です。
python3だと動かないので、python3がデフォルトのシステムの場合、
$ python2 ./intel_sa00086.py
とかしないと動かないです。
マザーやCPUの詳細はdmidecodeコマンドで調べられます。FreeBSDもPortsで入ります。
(出力が長いのでless推奨)
対象が5年以上前のマザーとかあるんですけど、メーカーが対策してくれる気がしません。最後のBIOSアップデートが2012年だったり。
確か、MEを自分でアップデートする方法があった気がしますが、これもそれで対応できるんでしょうか?
この脆弱性が実質的に攻撃可能になってるマシンは、それ程、多くない気がします。
まず、BIOSでセキュリティーパスワードを設定して、ME機能を有効化した上でIPを振らないといけないので。
普通に店で買ったPCをそのまま使っている分には影響ありませんし。
企業とかで有効にしていても、攻撃する為にはLAN内に入らないといけないので。
ME常時ONにして使ってる企業ってどれ位あるんでしょうか?デフォルトでONになってるPCやマザーがあったりするんですかね?
Re:調べてみました (スコア:1)
世代には拠るみたいですが
lenovoとか富士通のノートPCとか初期状態でAMT有効(=ME設定ON)になってる端末もあるみたいですよ
例
http://itwork100.com/intelamt-10-pc-set/ [itwork100.com]
Re: (スコア:0)
攻撃可能になる条件が実際には狭いのかもという主張に反対するわけではありませんが
下記のMEの記事によるとMEの完全無効化はできないとあります。
https://gigazine.net/news/20170829-disable-intel-me-11/ [gigazine.net]
貴殿の記載の「ME機能を有効化した上で」というあたりがどこから得られた知見なのか教えていただけると幸いです。
Re: (スコア:0)
それは、有効化と言う言葉の使い方が違うだけです。
その記事で無効化出来ないと言うのは、完全に停止してPC上で一切MEが起動していない状態に出来ないと言う意味で使っています。
対して#3317957での有効化はMEを使用して外部から操作できる状態にする(≒攻撃可能にする)と言う意味で有効化と言っています。
Re: (スコア:0)
当然想定すべき事かと思います。
Re: (スコア:0)
Linux上からMEの有効化設定の変更とか出来ないかと。
出来たとしても、ドライバとか入れないといけないし、最低でも再起動は必須だし。
そもそも、その時点でOSのrootやadmin取られてるのでMEとか言ってる場合じゃない。
ちょっと、当然想定すべき事とは思えない。
Re: (スコア:0)
MEの動作モードとしてAMT有効と無効が選べるってだけでME自体は動いてて、
MEはハードウェアレベルで組み込まれててAPIが非公開。
特定のバイナリ列を含んだメモリアクセスやらパケット通信やらUSB周りやらにフック掛けて動作するような機能があれば、
権限やドライバが無くても何かしらの動作を起こさせることが出来るし、その動作内容に脆弱性があればバックドアと化す。
そんな機能を悪意有るバックドア以外の目的で仕掛けるかは怪しいけど、
脆弱性の有るTLSライブラリにオンメモリでパッチ当てますとかならありえなくもない。
そんな機能があって、なおかつそれに脆弱性があれば、ブラウザのJavaScriptでJITされたコード(実行属性付き)がヒットしつつ脆弱性を突破するとかでNAPTもプロキシも突破してハードウェアまで到達する可能性が出て来る。
難しい想定であることは確かだけど、ハードウェアレベルで組み込まれた「何してるか分からんソフトウェア」に対してそのくらい警戒されるのはまぁ仕方ないことだと思う。
Re: (スコア:0)
なぜCeleronだけApploLakeと書かれていないのかは確かに引っかかりますが、
クロックやコア数やGPUの実行ユニット以外は一緒のBayTrailやBraswellのPentiumが対象外なので、Celeron J/NもApploLakeが対象だと思われます。
その場合は一番早く出荷された製品はSkyLakeの2015年8月です。
ApploLake搭載製品だと販売したメーカーがいい加減なので対応しないとか出荷したメーカーがなくなっててサポート引き継いだところもない、という事は考えられますが、古いから対応しないと言うにはまだ新しい製品に思えます。
気になる人は (スコア:1)
こんなのを使ってください。
https://puri.sm/products/ [puri.sm]
AMD買ってこない (スコア:0)
マイナーだから脆弱性を調査してる人が少ないなんて言わないで
Re: (スコア:0)
AMDの個人向けは非対応だから大丈夫
こういう時のオープンソースOSサーバの対処 (スコア:0)
こういう下層の問題の際にオープンソースOSサーバ・PCがどういう対処することになるのか気になる
特にOSを自前でインストールしている場合にベンダーがどこまで準備してくれるのかなぁ
Re: (スコア:0)
今回の件は対応するのはハードメーカーだから何のOSが入っていても基本的に関係ないのでは?
アップデートツールがWindowsでしか動かないとかはあるかもしれませんが。
Re: (スコア:0)
当然ハードウェアベンダーがどこまで準備してくれるかの懸念ですよ
官公庁でもOSなしでのサーバ調達あるみたいですし
そのあたりどこまで対応した更新の仕組みを準備してくれるやらという話ですね
Re:こういう時のオープンソースOSサーバの対処 (スコア:2)
ハードウェアの問題なので、OSに関係なく対処しますよ。だいたい、Windows Serverとかそもそも異端じゃないですか。サーバには商用オープンソースOSを入れるものでしょう。
Re: (スコア:0)
ADサーバでSambaとかありえねーですわー
Re: (スコア:0)
はいどうぞ
http://www.publickey1.jp/blog/17/cpuminix_3google.html [publickey1.jp]
Re: (スコア:0)
脆弱性の塊みたいなOS使うのとたまたま見つかった今回の脆弱性を「脆弱性」というキーワードだけでいっしょくたにしないでもらいたい。
あなたの個人情報が抜き取られても我々は痛くもかゆくもないが脆弱なOSが踏み台となってあちこちにちょっかい出されるのは勘弁してもらいたい。
Re: (スコア:0)
販売時の対応OSならサポートしてくれるんじゃないの。
非対応なら知らん。
ややこしい (スコア:0)
数日前にMEやAMTのアップデートが
各社から出ているが
INTEL-SA-00086は未対応だったり
いっそのこと無効化しちまえってなもんで
Intel ME 11.x Firmware Images Unpacker
https://github.com/ptresearch/unME11 [github.com]
なんてのもあるが
それなりに勇気と運がいる模様
さっさと公式から無効化ツール出てくれんもんですかね
エンタープライズかアレゲでないと使わない機能を
一般向けに標準搭載して穴塞ぐのは各社任せとか。。。
# いや現代の標準対応かorz
Re: (スコア:0)
#3317957の通り、普通に使ってるだけなら、そもそも穴が開いてないから大丈夫ですよ。
Linuxで脆弱性のあるWebサーバーが走っててもIPを振ってなければ、外部から攻撃出来ないのと同じです。
Re: (スコア:0)
勝手に有効になってて知らぬ間にDHCPでIP取ってるかもしれないから、一応割り振ってるIPを照合しておいたらいかがかな?たいてい実MACアドレスのちょい番号違いとかあったらそこらへんがあやしいんじゃない?
INTEL-SA-00086 検出ツール変だね (スコア:0)
I5 6300UでAMT乗ってるノートで
BIOSから飛んでAMT無効化しつつ
Intel(R) Management Engine Interface ドライバは現状当てられる最新11.7.0.1045
ファームウェアは某所で採ってきた最新11.8.50.3425を当てた
んでもって
INTEL-SA-00086 検出ツール(1.0.0.128)を使ったところ
ドライバーバージョンは表示せず
エンジンバージョンを11.8.50.3425と表示し
判定は「このシステムには脆弱性があります。」
ドライバが古いからかと思い再度
メーカーを確認→更新版なし
Intelを確認→Compute Card用11.8.50.3420(だが中身は11.7.0.1050)
https://downloadcenter.intel.com/search?keyword=Management+Engine [intel.com]
ちなみにIntel曰くResolved Firmware version 11.8.50.3425 or higher
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086... [intel.com]
# どないせいっちゅうねん
要するに個人PCはAMDにしろってことか (スコア:0)
これでAMDの復権だな。。
無駄な管理機能なんてAMDが入れるわけもないだろうから(推測)
最近なんとなくIntelにしてたけど、そろそろAMDに戻るか。。
そして、グラボでの脆弱性を公開されたりしてな。
Re: (スコア:0)
あるんだなーこれが/ [cnet.com]
一応個人向けは無効になっているので問題ないはずだが。
Re: (スコア:0)
仕方ないな。古いCPU使い続けるか。
McAfeeを再独立させちゃったからなぁ (スコア:0)
もうちょっとIntel Securityとして使い倒しておくべきだったんじゃないかと。
サポート終了済み (スコア:0)
第5世代より前って、サポート終了済みだから、無視ってだけのようです。