パスワードを忘れた? アカウント作成
13463265 story
Intel

第6〜8世代Coreプロセッサなどに脆弱性、Intelがチェックツールを公開 51

ストーリー by hylom
たびたび言われているMEの危険性 部門より

Intelの第6〜8世代CoreプロセッサやXeon、Pentium、Celeronプロセッサなどに脆弱性が発見された(Intel4gamer)。

Intelの最近のCPUには「Intel Management Engine」などの管理機構が搭載されているが、今回の脆弱性はそれらに関するもののようだ。これによって外部からシステムを遠隔操作される可能性があるという(US-CERTの発表)。

Intelは対応として「intel-sa-00086 検出ツール」という使用しているシステムに脆弱性があるかどうかを判断できるツールを公開した。ただ、このツールでは脆弱性があるかどうかの判断のみが可能で、修正にはPCやマザーボードメーカーが提供するファームウェアアップデートが必要だという。

  • by srad.jp (48253) on 2017年11月24日 23時24分 (#3318115)

    単なる陰謀論だと切り捨てられそうだけど、ME (Intel Management Engine) には複数のバックドアが仕組まれている疑いが強い。その詳細やソースコードにアクセスできるのは Intel の中の限られた極一部の人だけで、Google も MEの機能を削除すべきだと警鐘 [impress.co.jp] するほどである。一般人は ME を無効化することが許されていないが、米国家安全保障局 (NSA) は reserve_hap ビットを1にすることで ME を無効化している [cnet.com] ことも、ME の潜在的危険性を裏付けているといえよう。

    本当は ME を無効化するのが最善の対策である。しかし、ME には自分自身を無効化・排除しようとするユーザから自らを守るため何重ものセルフディフェンス機構が搭載されており、MEを排除しようとすると、そのチップセットを動作不能化=文鎮化してしまう。なので、一般人にできるのは ME の存在を許したままで、脆弱性やバックドア悪用のリスクを軽減させる対策のみである。その対策を述べる。

    1. その存在が公となっている脆弱性(Intel SA-00086) の有無を確認する。Intel-SA-00086 Detection Tool [intel.com] を download して unzip し、Windows なら SA00086_Windows\DiscoveryTool.GUI を ecec する。OSの管理者権限が必要なようだ。
    2. 「このシステムには脆弱性があります。」というメッセージが出たら、パッチを探す。パッチは Intel が直接公開しているわけじゃないので、出来合いのPCならベンダー、自作PCならマザーボードベンダーがパッチを提供する必要がある。しかしまだパッチを公開していないベンダーが大半なので、パッチは諦めるしかないのが現状なのである。
    3. Intel-SA-00086 は複数の脆弱性の集合である。列挙すると、CVE-2017-5705, CVE-2017-5708, CVE-2017-5711(AMTの脆弱性だが要ローカルアクセス), CVE-2017-5712, CVE-2017-5706, CVE-2017-5709, CVE-2017-5707, CVE-2017-5710 と8種類もあるのだが、そのうちリモートから悪用できるのは CVE-2017-5712 のみ である。

      スパイされるような機密を持っていない一般人でも、これだけは対策しておくべきだ。

      まず、この脆弱性の影響を受けるハードウェアは限定される。Intel AMT (Intel Active Management Technology) は、マザーボードとCPUの両方がvPro対応でないと使えない。vPro対応マザーボードは一般向けではほとんど使われていないので大半の場合はそもそも影響がない。もし CPUとマザービードが両方とも vPro 対応だった場合には、BIOSの設定でAMTを無効にすればリモートから脆弱性が悪用される心配はなくなる。

      ついでに、ローカルアクセスが必要なAMTの脆弱性 CVE-2017-5711 の悪用も防げる。

    4. ここまでの対策で、リモートからの攻撃は防げるので多くの人は安心するかもしれない。しかし、システムへのローカルアクセスを持つ攻撃者による任意のコード実行できる ME の脆弱性 CVE-2017-5705, CVE-2017-5708 も恐ろしい。Windows でマルウェアを実行してしまうと、スパイウェアがOSより下のスタックのレベル(BIOSレベル)にインプラントされ、OSの再インストールやSSDの初期化後にもそのまま残る 恐れがある。こうなってしまうと、ウイルス対策ソフトでもそのスパイウェアを検出することができないし、メモリ上のデータを読み取ってVeraCrypt・TrueCryptなどの暗号鍵を盗み取るなどの高度なスパイ行為に悪用されるかもしれない。

      この対策は簡単である。BIOS より上のスタックレベルであるところの Windows などから Intel Management Engine (ME) にアクセスするための API を封鎖すれば良い。BIOSによってやり方は違う、American Megatrends のBIOSなら Chipset → ME Configuration → ME Control → Disable である。

      ME Control を無効化すれば、OS から MEにアクセスできなくなるので、Windows 等のOS上で実行したマルウェアが ME のバッファーオーバーフロー脆弱性を悪用することもできなくなる。この状態であれば、Intel-SA-00086 Detection Tool [intel.com] から ME のバージョン情報を取得することもできない。

      マザーボード設定で ME Control が有効の場合

      リスク・アセスメント
      以下はこのツールにより実行された分析に基づきます: このシステムには脆弱性があります。
       
      説明:
      検出された インテル(R) マネジメント・エンジン のファームウェアのバージョンは、INTEL-SA-00086 に対して脆弱とみなされます。本システムに関するサポートおよび改善

    ここに返信
    • Re: (スコア:0, フレームのもと)

      by Anonymous Coward

      文体なんかより現実と妄想を混ぜて語るのを辞めようか。スラドでは時々みるけど、妄想だけの人よりたちが悪い。

      まず、GoogleがMEの機能を削除すべきと言ったのは今回みたいな脆弱性が発見された場合のリスクを考えてであって、バックドアが仕込まれているからじゃない。
      前のストーリーや今回のコメントからたどればGoogleの資料読めるから見てくると良い。バックドアなんて一言も書かれてない。

      > ME には自分自身を無効化・排除しようとするユーザから自らを守るため何重ものセルフディフェンス機構が搭載されており
      なんて事実はない。単にコンポーネント化して切

      • by Anonymous Coward on 2017年11月25日 3時11分 (#3318179)

        Intelが意図的に「セルフディフェンス機構」なんてものを組み込んでると言うのなら信頼できるソースを。

        Replace your exploit-ridden firmware with a Linux kernel [schd.ws]

        Ron Minnich, Gan-shun Lim, Ryan O'Leary, Chris Koch, Xuan Chen Google

        Removing the ME
        ● If you remove ME firmware, your node
        ○ May never work again
        ○ May not power on (as in OCP nodes)
        ○ May power on, but will turn off in thirty minutes

        MEを削除すると電源を入れてから30分でシステムがダウンする罠が発動する
        「May power on, but will turn off in thirty minutes」

        me_cleaner README.md [github.com]にも、me_cleaner開発時にこのシャットダウンへの対処に苦戦した様子の記述有り

        • by Anonymous Coward

          それは、本来アクセスされないファイルが削除されたから、改竄と判断してシャットダウンしているだけのセキュリティ機構か、単に起動に必要な機能を削除しちゃったから、どこかのタイミングでエラーが起きて再起動するってだけではないですか?
          Intelが削除させないために仕組んだって判断できる根拠って誰か示してます?
          必要ない人もいる機能を削除できない設計が悪いって言うのには同意しますが、それと、悪意を持って削除を妨害していると言うのは全然別の話ですし。

          • by Anonymous Coward on 2017年11月25日 5時10分 (#3318189)

            https://github.com/corna/me_cleaner/wiki/How-does-it-work%3F [github.com] によると、MEは何重にもモジュールの整合性・ハッシュ値・署名のチェックをして INVALID だとシステムを停止させるとある。
            なので、スレ主の「ME には自分自身を無効化・排除しようとするユーザから自らを守るため何重ものセルフディフェンス機構が搭載されており、MEを排除しようとすると、そのチップセットを動作不能化=文鎮化してしまう。」って文は動作としては間違ってない。
            しかし「守るため」の機構だと決めつけてるのが問題で、結果として「自分自身を無効化・排除しようとするユーザから自らを守る」動作をしてたとしても、それが目的のチェックだとは限らない(「マルウェアによる改竄から自らを守るため」かもしれない)。

          • by Anonymous Coward

            > 悪意を持って削除を妨害している
            そんなの悪魔の証明でしょ
            んなこといったら、DS版ドラゴンクエスト5のコピープロテクトが話題に [srad.jp] だって、スクエニが意図して仕組んだことを認めてないから、「コピーガード」じゃなくて「バグ」なの?

            どういう意図なのかなんて、そのコードを書いた人以外誰も分からない
            現実の裁判でも犯行の動機なんていうのは本当に真実なのか裁判官でも分からないまま勝手に推測して判決出してる

      • by Anonymous Coward

        そもそも、こいつはIntelをなんだと思ってるんだ
        Intelがバックドア仕込むならこんな分かり易いソフト部分じゃなくて、ハードに組み込むに決まってるだろ
        なにが悲しくてわざわざ探してくださいって場所にバックドア組み込むんだよ
        実際IntelのCPUの乱数生成器を暗号化の種に使うのはまずいんじゃないかって議論になった事もある

      • by Anonymous Coward

        これがマイナスモデってなんで?
        内容も文体も問題ないと思うけど。

        • by Anonymous Coward

          ここ数日、スラドで速攻で変なマイナスモデ付く事のをよく見ます。暫くすると、元に戻ってますが。
          元編集で無限モデ権持ってる人が暴れてるとかなんですかね?

        • by Anonymous Coward
          > 歴史が浅いなので
          この手の音便の間違いは孤立語話者によく見られるパターンなので
          おそらくチャイナフォビアのモデレーターによるマイナスモデと思われる
          • by Anonymous Coward

            ただの書き間違えとは思えないのか?

            「浅いな」「浅いので」みたいな書き方を選んでる時に
            半端に削除して前の分の痕跡が残ることはよく有るぞ。

            何度も読み返せば気付くけど
            ネットの書き捨てにいちいちそこまでやらんぜオレなら。

          • by Anonymous Coward

            幼女キャラにもよく見られるパターンなので、勝手に萌えていました。

      • by Anonymous Coward

        > ソースが公開されていないのをしきりに言ってるけど、MEに載ってるMINIXなんて小さなものだから、逆アセンブルして読む人が読めば現実的な時間でバックドアの有無位分かるよ。
        > と言うか、そういう人たちが精査した結果reserve_hap ビットが見つかったわけだから。
        MEって初期から散々危険だと騒がれてて、セキュリティ専門家が必死になってバックドア探してたんだけど、それでも今回の脆弱性が見つかるまで数年かかってるじゃん
        逆アセンブルしたぐらいでバックドアが簡単に見つかったら苦労しねーよ

        > 少なくとも現時点でバックドアがある可能性はほぼゼロ。
        何言ってるんだか
        過去にMEで何度もバックドアとして使える脆弱性が発見されてるの知らないの?
        二度あることは三度あるよ

        「今回Windowsの脆弱性が発見されてパッチがあたったから現時点でWindowsにバックドアがある可能性はほぼゼロ」っていうぐらい馬鹿らしい論理なのが分からないの?

        • by Anonymous Coward

          > 今回の脆弱性が見つかるまで数年
          今回の脆弱性が載ったMINIXベースのME11が出てから数年もたってないと思うんですが。

          > 過去にMEで何度もバックドアとして使える脆弱性が発見されてるの知らないの?
          バックドアとバックドアとして使える脆弱性を混同してはいけません。
          バックドアとして使える脆弱性については、(#3318133)も否定してないですよね。
          それを、Intelが仕込んだバックドアって証拠も無しに確定情報の様に言う事を突っ込んでるだけで。
          脆弱性についてはセキュリティ研究者が警戒してるって書いてありますよ。

          • by Anonymous Coward

            今回の脆弱性が載ったMINIXベースのME11が出てから数年もたってないと思うんですが。

            数年 [goo.ne.jp]
            辞書ソース: 2、3か5、6ぐらいの年数。
            知恵袋ソース: 若い人は2~3、中年以降は5~6の意味で使う傾向にあるらしい

            脆弱性対象 [impress.co.jp]
            第6世代/第7世代/第8世代Coreプロセッサー・ファミリー
            Skylakeの6700Kなら2015年8月5日発売
            2年3カ月以上経ってるから「数年」で合ってる

            バックドアかどうかについては、故意に仕込めばバックドア、過失ならばバグ、い

    • by Anonymous Coward

      でかした!おまえ!ほうびをトラスレータ

  • by Anonymous Coward on 2017年11月24日 15時26分 (#3317864)

    危惧されていたのが現実になってしまったか
    マーフィーの法則だな

    ここに返信
  • by Anonymous Coward on 2017年11月24日 18時13分 (#3317957)

    手元のマシン調べたら該当世代全て対象でした。この世代のCPUはアップデートしてなければ全て対象なのかもしれません。

    Linux版は、Intel(R) MEI/TXEI driverいれないと、実行できません。それと、マニュアルがPDFなので、コンソールだけのサーバーだと読めません。
    $ ./intel_sa00086.py
    だけなので、テキストファイルのドキュメント位、入れておいて欲しい所です。
    python3だと動かないので、python3がデフォルトのシステムの場合、
    $ python2 ./intel_sa00086.py
    とかしないと動かないです。

    マザーやCPUの詳細はdmidecodeコマンドで調べられます。FreeBSDもPortsで入ります。
    (出力が長いのでless推奨)

    対象が5年以上前のマザーとかあるんですけど、メーカーが対策してくれる気がしません。最後のBIOSアップデートが2012年だったり。
    確か、MEを自分でアップデートする方法があった気がしますが、これもそれで対応できるんでしょうか?

    この脆弱性が実質的に攻撃可能になってるマシンは、それ程、多くない気がします。
    まず、BIOSでセキュリティーパスワードを設定して、ME機能を有効化した上でIPを振らないといけないので。
    普通に店で買ったPCをそのまま使っている分には影響ありませんし。
    企業とかで有効にしていても、攻撃する為にはLAN内に入らないといけないので。
    ME常時ONにして使ってる企業ってどれ位あるんでしょうか?デフォルトでONになってるPCやマザーがあったりするんですかね?

    ここに返信
    • by Anonymous Coward on 2017年11月24日 19時24分 (#3318013)

      世代には拠るみたいですが
      lenovoとか富士通のノートPCとか初期状態でAMT有効(=ME設定ON)になってる端末もあるみたいですよ

      http://itwork100.com/intelamt-10-pc-set/ [itwork100.com]

    • by Anonymous Coward

      攻撃可能になる条件が実際には狭いのかもという主張に反対するわけではありませんが
      下記のMEの記事によるとMEの完全無効化はできないとあります。
      https://gigazine.net/news/20170829-disable-intel-me-11/ [gigazine.net]

      貴殿の記載の「ME機能を有効化した上で」というあたりがどこから得られた知見なのか教えていただけると幸いです。

      • by Anonymous Coward

        それは、有効化と言う言葉の使い方が違うだけです。
        その記事で無効化出来ないと言うのは、完全に停止してPC上で一切MEが起動していない状態に出来ないと言う意味で使っています。
        対して#3317957での有効化はMEを使用して外部から操作できる状態にする(≒攻撃可能にする)と言う意味で有効化と言っています。

        • by Anonymous Coward
          別の脆弱性を使ってLinux上でも外部から使用可能な状態にできるということは
          当然想定すべき事かと思います。
          • by Anonymous Coward

            Linux上からMEの有効化設定の変更とか出来ないかと。
            出来たとしても、ドライバとか入れないといけないし、最低でも再起動は必須だし。
            そもそも、その時点でOSのrootやadmin取られてるのでMEとか言ってる場合じゃない。
            ちょっと、当然想定すべき事とは思えない。

            • by Anonymous Coward

              MEの動作モードとしてAMT有効と無効が選べるってだけでME自体は動いてて、
              MEはハードウェアレベルで組み込まれててAPIが非公開。
              特定のバイナリ列を含んだメモリアクセスやらパケット通信やらUSB周りやらにフック掛けて動作するような機能があれば、
              権限やドライバが無くても何かしらの動作を起こさせることが出来るし、その動作内容に脆弱性があればバックドアと化す。

              そんな機能を悪意有るバックドア以外の目的で仕掛けるかは怪しいけど、
              脆弱性の有るTLSライブラリにオンメモリでパッチ当てますとかならありえなくもない。
              そんな機能があって、なおかつそれに脆弱性があれば、ブラウザのJavaScriptでJITされたコード(実行属性付き)がヒットしつつ脆弱性を突破するとかでNAPTもプロキシも突破してハードウェアまで到達する可能性が出て来る。
              難しい想定であることは確かだけど、ハードウェアレベルで組み込まれた「何してるか分からんソフトウェア」に対してそのくらい警戒されるのはまぁ仕方ないことだと思う。

    • by Anonymous Coward

      なぜCeleronだけApploLakeと書かれていないのかは確かに引っかかりますが、
      クロックやコア数やGPUの実行ユニット以外は一緒のBayTrailやBraswellのPentiumが対象外なので、Celeron J/NもApploLakeが対象だと思われます。

      その場合は一番早く出荷された製品はSkyLakeの2015年8月です。
      ApploLake搭載製品だと販売したメーカーがいい加減なので対応しないとか出荷したメーカーがなくなっててサポート引き継いだところもない、という事は考えられますが、古いから対応しないと言うにはまだ新しい製品に思えます。

  • by zakinco (38870) on 2017年11月25日 10時20分 (#3318245)

    こんなのを使ってください。
    https://puri.sm/products/ [puri.sm]

    ここに返信
  • by Anonymous Coward on 2017年11月24日 16時46分 (#3317913)

    マイナーだから脆弱性を調査してる人が少ないなんて言わないで

    ここに返信
    • by Anonymous Coward

      AMDの個人向けは非対応だから大丈夫

  • by Anonymous Coward on 2017年11月24日 17時54分 (#3317943)

    こういう下層の問題の際にオープンソースOSサーバ・PCがどういう対処することになるのか気になる
    特にOSを自前でインストールしている場合にベンダーがどこまで準備してくれるのかなぁ

    ここに返信
    • by Anonymous Coward

      今回の件は対応するのはハードメーカーだから何のOSが入っていても基本的に関係ないのでは?
      アップデートツールがWindowsでしか動かないとかはあるかもしれませんが。

      • by Anonymous Coward

        当然ハードウェアベンダーがどこまで準備してくれるかの懸念ですよ
        官公庁でもOSなしでのサーバ調達あるみたいですし
        そのあたりどこまで対応した更新の仕組みを準備してくれるやらという話ですね

    • by Anonymous Coward
    • by Anonymous Coward

      脆弱性の塊みたいなOS使うのとたまたま見つかった今回の脆弱性を「脆弱性」というキーワードだけでいっしょくたにしないでもらいたい。
      あなたの個人情報が抜き取られても我々は痛くもかゆくもないが脆弱なOSが踏み台となってあちこちにちょっかい出されるのは勘弁してもらいたい。

    • by Anonymous Coward

      販売時の対応OSならサポートしてくれるんじゃないの。
      非対応なら知らん。

  • by Anonymous Coward on 2017年11月24日 18時47分 (#3317995)

    数日前にMEやAMTのアップデートが
    各社から出ているが
    INTEL-SA-00086は未対応だったり

    いっそのこと無効化しちまえってなもんで
    Intel ME 11.x Firmware Images Unpacker
    https://github.com/ptresearch/unME11 [github.com]
    なんてのもあるが
    それなりに勇気と運がいる模様

    さっさと公式から無効化ツール出てくれんもんですかね
    エンタープライズかアレゲでないと使わない機能を
    一般向けに標準搭載して穴塞ぐのは各社任せとか。。。

    # いや現代の標準対応かorz

    ここに返信
    • by Anonymous Coward

      #3317957の通り、普通に使ってるだけなら、そもそも穴が開いてないから大丈夫ですよ。
      Linuxで脆弱性のあるWebサーバーが走っててもIPを振ってなければ、外部から攻撃出来ないのと同じです。

      • by Anonymous Coward

        勝手に有効になってて知らぬ間にDHCPでIP取ってるかもしれないから、一応割り振ってるIPを照合しておいたらいかがかな?たいてい実MACアドレスのちょい番号違いとかあったらそこらへんがあやしいんじゃない?

  • by Anonymous Coward on 2017年11月24日 21時44分 (#3318080)

    I5 6300UでAMT乗ってるノートで
    BIOSから飛んでAMT無効化しつつ
    Intel(R) Management Engine Interface ドライバは現状当てられる最新11.7.0.1045
    ファームウェアは某所で採ってきた最新11.8.50.3425を当てた

    んでもって
    INTEL-SA-00086 検出ツール(1.0.0.128)を使ったところ
    ドライバーバージョンは表示せず
    エンジンバージョンを11.8.50.3425と表示し
    判定は「このシステムには脆弱性があります。」

    ドライバが古いからかと思い再度
    メーカーを確認→更新版なし
    Intelを確認→Compute Card用11.8.50.3420(だが中身は11.7.0.1050)
    https://downloadcenter.intel.com/search?keyword=Management+Engine [intel.com]

    ちなみにIntel曰くResolved Firmware version 11.8.50.3425 or higher
    https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086... [intel.com]

    # どないせいっちゅうねん

    ここに返信
  • by Anonymous Coward on 2017年11月25日 2時52分 (#3318174)

    これでAMDの復権だな。。

    無駄な管理機能なんてAMDが入れるわけもないだろうから(推測)

    最近なんとなくIntelにしてたけど、そろそろAMDに戻るか。。
    そして、グラボでの脆弱性を公開されたりしてな。

    ここに返信
  • by Anonymous Coward on 2017年11月25日 22時51分 (#3318591)

    もうちょっとIntel Securityとして使い倒しておくべきだったんじゃないかと。

    ここに返信
  • by Anonymous Coward on 2017年11月26日 1時59分 (#3318638)

    第5世代より前って、サポート終了済みだから、無視ってだけのようです。

    ここに返信
typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...