在本月月初,安全公司 Positive Technologies 發(fā)布報(bào)告稱,英特爾管理引擎(Intel Management Engine,以下簡(jiǎn)稱 IME)存在嚴(yán)重漏洞,黑客能夠通過(guò)該漏洞完全控制目標(biāo)計(jì)算機(jī),甚至關(guān)機(jī)狀態(tài)下都可以。這一新聞當(dāng)時(shí)就在圈內(nèi)引起了一陣恐慌,因?yàn)檫@意味著全世界絕大多數(shù) PC 都成了被攻擊的潛在對(duì)象,而今天英特爾的一則聲明更是讓人背后發(fā)涼:
英特爾承認(rèn)公司最近數(shù)年售出的PC芯片全部存在多個(gè)嚴(yán)重的軟件安全缺陷,包括2015年以后推出的第六代、第七代以及最新的第八代酷睿芯片。
那么這個(gè)漏洞的危險(xiǎn)性究竟有多高?
讓我們先來(lái)認(rèn)識(shí)一下 IME,IME 最開(kāi)始是用來(lái)監(jiān)控、協(xié)調(diào)處理器芯片組中諸多模塊的,以獲得最好的性能和功耗平衡。而后期英特爾又為其賦予了檢查操作系統(tǒng)、管理員遠(yuǎn)程控制(企業(yè)中經(jīng)常會(huì)用到),還有從應(yīng)用更新到故障排除等等一系列功能。英特爾也在官網(wǎng)中表示系統(tǒng)出現(xiàn)任何問(wèn)題都不可能是 IME 的故障,因?yàn)?IME 本質(zhì)上運(yùn)行在一顆微處理器上,也側(cè)面證明了 IME 確實(shí)是可以完全獨(dú)立運(yùn)行的。
可能還是有朋友不理解,為什么一塊負(fù)責(zé)運(yùn)算的 CPU 也會(huì)出現(xiàn)漏洞呢?其實(shí) IME 一開(kāi)始并不在 CPU 中的,隨著越來(lái)越多的越來(lái)越多的芯片、功能被集成到 CPU 的芯片組中,酷睿處理器早就不只是一個(gè)負(fù)責(zé)計(jì)算的工具了,反而更像是移動(dòng) SoC 那樣的芯片組,而 IME 也隨著這個(gè)過(guò)程進(jìn)入了 CPU 之中,位于南橋 PCH 芯片組中。
正因如此,有不少人會(huì)以為 IME 的這個(gè)漏洞會(huì)擁有最高的運(yùn)行權(quán)限,也就是 Ring -3 (我們平時(shí)用的軟件權(quán)限為 Ring 3,最低;操作系統(tǒng)為 Ring 0,較高;而 BIOS 的權(quán)限是 RING -2),如果運(yùn)行 IME 的權(quán)限為Ring -3,那一旦被控制,真的是可以為所欲為了,用戶甚至連訪問(wèn)黑客植入的惡意軟件都做不到,更別說(shuō)清除了。
甚至還有人認(rèn)為,這樣擁有最高權(quán)限的漏洞,很有可能就是英特爾故意留的后門(mén)。畢竟英特爾早在2008年就已經(jīng)開(kāi)始使用 IME 技術(shù)了,而因?yàn)檫@項(xiàng)技術(shù)能夠獨(dú)立于系統(tǒng)和其他硬件來(lái)完成一些管理任務(wù),并且用戶無(wú)法移除它(因?yàn)樗俏锢泶嬖诘?,你只能關(guān)掉它的固件),所以電子前沿基金會(huì)(EFF)一直很反對(duì)在 CPU 中使用 IME??墒怯⑻貭栆恢碧亓ⅹ?dú)行,直到這次東窗事發(fā),這么看來(lái)確實(shí)值得懷疑。
我們?cè)撛趺磳?duì)待這個(gè)漏洞呢?
雖然對(duì)于 IME 的質(zhì)疑從來(lái)沒(méi)有間斷過(guò),但是知道今年安全公司 Positive Technologies 表示他們已能夠通過(guò) USB 接口,在運(yùn)行 IME 的計(jì)算機(jī)上執(zhí)行未經(jīng)簽名的代碼,這才引起了英特爾的重視,然后在近日發(fā)布了聲明。
其實(shí)早在這家安全公司發(fā)布聲明之前,谷歌就已經(jīng)發(fā)現(xiàn) IME 運(yùn)行的是一個(gè)名為 MINIX 的操作系統(tǒng),正是它獲取了 Ring -3權(quán)限,而谷歌一直都在嘗試著從自家服務(wù)器的 CPU 中移除 MINIX,但是卻沒(méi)能成功。而在這次英特爾宣布 IME 存在漏洞之后,谷歌也第一時(shí)間停止了 IME 固件。
而英特爾自己表示,他們已經(jīng)開(kāi)發(fā)了補(bǔ)丁軟件來(lái)修復(fù)問(wèn)題,現(xiàn)在已經(jīng)有聯(lián)想和戴爾提供了修復(fù)固件,并且還建議企業(yè)、用戶應(yīng)該與設(shè)備制造商和供應(yīng)商核實(shí)系統(tǒng)升級(jí)情況,并且盡快進(jìn)行任何可用的升級(jí)。不過(guò)對(duì)于實(shí)在不放心的用戶來(lái)說(shuō),直接關(guān)閉掉 IME 也是不錯(cuò)的選擇,在設(shè)備管理器中就能找到它哦!
如果你連關(guān)閉固件也不放心,那考慮不含 IME 組件的產(chǎn)品或者是轉(zhuǎn)投AMD 或許也不錯(cuò),舊金山就有一家名為 Pruism 的公司主打禁用 IME 的筆記本產(chǎn)品,該公司 CEO 表示 Purism 之所以很早就禁用了 IME,是因?yàn)樗麄冎?IME 從威脅變成現(xiàn)實(shí)只是時(shí)間上的問(wèn)題,一名攻擊者可以再不借助任何高級(jí)軟硬件的情況下完全控制一臺(tái)計(jì)算機(jī),不管是加密存儲(chǔ)、密碼密匙、機(jī)密文件全都無(wú)所遁形。
這事情背后究竟是什么,只有英特爾知道了
不過(guò)話說(shuō)回來(lái),雖然 IME 確實(shí)是一個(gè)非常嚴(yán)重的漏洞,但是是不是真的能有大家說(shuō)的那么可怕其實(shí)還是要打上一個(gè)問(wèn)號(hào),有專業(yè)人士表示,雖然 IME 存在于 CPU 芯片組中,但兩者其實(shí)是獨(dú)立工作的,所以 IME 或許并不能控制 CPU。
而且我們的 PC 中每個(gè)硬件其實(shí)都會(huì)有固件,比如網(wǎng)卡、顯卡等等,只不過(guò) IME 存在于芯片組中所以格外受關(guān)注,但其實(shí)英特爾芯片組中還有英特爾服務(wù)器平臺(tái)(Server Platform)和英特爾可信執(zhí)行引擎(Trusted Execution Engine)等部分呢,不少大神認(rèn)為固件存在漏洞是非常正常的事情。
至于后門(mén)的問(wèn)題,只有英特爾自己知道有沒(méi)有了,包括前面提到的 MINIX 操作系統(tǒng)的作者 Andrew S. Tanenbaum 也很擔(dān)憂,他表示因?yàn)樽约簺](méi)有參與英特爾的這個(gè)項(xiàng)目,并暗示如果有后門(mén)與自己無(wú)關(guān)。
總而言之,筆者這里建議大家如果不是很依賴 IME 的某些功能,那么不如手動(dòng)關(guān)閉它,雖然國(guó)內(nèi)的 PC 使用習(xí)慣和環(huán)境已經(jīng)足夠惡劣,導(dǎo)致不少人并不在意設(shè)備安全問(wèn)題,但還是建議防患于未然,不然到時(shí)候真中招了哭都來(lái)不及。