在过去的9年间，数以百万计的英特尔工作站和服务器芯片居然隐藏有一处安全漏洞，这个漏洞有可能被不法分子钻空子，从而远程控制系统，并利用间谍软件感染系统。

具体来说，这个漏洞存在于英特尔的主动管理技术（AMT）、标准可管理性（ISM）和小企业技术（SBT）固件版本6至11.6中。据这家芯片厂商声称，这个安全漏洞让“无特权的攻击者得以控制这些产品提供的可管理性功能。”

那就意味着，黑客有可能登录进入到高危计算机的硬件（该硬件就在操作系统的眼皮底下），利用AMT的功能，悄悄地对机器做手脚，安装几乎无法被察觉的恶意软件，以及搞其他破坏。由于AMT可以直接访问计算机的网络硬件，这种破坏有可能出现在网络上。

近十年来，这些不安全的管理功能存在于众多（但并非所有）的英特尔芯片组中，从2008年的Nehalem酷睿i7开始，一直到今年推出的Kaby Lake酷睿芯片。要命的是，这个安全漏洞就处在机器的硅片的核心位置，而操作系统、应用程序和任何反病毒软件却看不到它。

只有固件层面的更新，才有可能完全解决这个编程缺陷，该缺陷存在于数以百万计的芯片中。它实际上就是潜入全球大批计算机的一道后门。

易受攻击的AMT服务是英特尔的vPro处理器功能系列中的一部分。如果某个系统上有vPro，启用了它，而且AMT已经配置，网络上未验证身份的不法分子就能访问这台系统的AMT控制机制，并加以劫持。如果AMT未经配置，已登录的用户仍有可能钻这个安全漏洞的空子，获得管理员级别权限。如果你的系统根本没有vPro或AMT，那么一点都不用担心。

　　英特尔认为，这个安全漏洞影响企业系统和服务器系统，因为它们往往有vPro和AMT，并已启用，但不影响针对普通人群的系统，因为这类系统通常没有vPro和AMT。你可以查看该文档（https://downloadcenter.intel.com/download/26755），看看自己的系统是否易受攻击，你应该查看一下。

基本上来说，如果你使用的机器启用了vPro和AMT，你就面临危险。

据英特尔今天声称，这个严重的安全漏洞名为CVE-2017-5689，早在3月份由Embedi的马克西姆·马尔尤廷（Maksim Malyutin）报告。想获得堵住漏洞的补丁，你要向计算机厂商索取固件更新版，或者试试这里的应对措施（https://downloadcenter.intel.com/download/26754）。这些更新版有望在今后几周内发布，应该尽快安装。

英特尔公司发言人告诉英国IT网站The Register：“2017年3月，一名安全研究人员发现了使用英特尔主动管理技术（AMT）、英特尔标准可管理性（ISM）或英特尔小公司技术（SBT）的商务PC和设备中存在一处严重的固件安全漏洞，并报告了英特尔。”

“消费级PC并没有受到该安全漏洞的影响。我们没听说有人钻该安全漏洞空子搞破坏的案例。我们已实施并验证了固件更新版，以解决这个问题；我们正在与多家设备生产商合作，尽快提供给最终用户。”

具体来说，英特尔声明如下：

无特权的网络攻击者有可能获得下列经配置的英特尔可管理性SKU的系统权限：英特尔主动管理技术（AMT）和英特尔标准可管理性（ISM）。

无特权的本地攻击者有可能配置可管理性功能，从而对下列英特尔可管理性SKU获得无特权的网络或本地系统权限：英特尔主动管理技术（AMT）、英特尔标准可管理性（ISM）和英特尔小企业技术（SBT）。

很显然，英特尔的小企业技术并不易受通过网络实现的权限提升的影响。视受到影响的处理器系列而定，无论你使用的是AMT、ISM还是SBT，要留意的已打补丁的固件版本如下：

· 第一代酷睿系列：6.2.61.3535

· 第二代酷睿系列：7.1.91.3272

· 第三代酷睿系列：8.1.71.3608

· 第四代酷睿系列：9.1.41.3024和9.5.61.3012

· 第五代酷睿系列：10.0.55.3000

· 第六代酷睿系列：11.0.25.3001

· 第七代酷睿系列：11.6.27.3264

半导体行业记者查利·德梅尔吉安（Charlie Demerjian）在今天早些时候解释：“简而言之，从2008年的Nehalem直到2017年的Kaby Lake，搭载AMT、ISM和SBT的每个英特尔平台都存在可以被人远程攻击的安全漏洞。”

“即使你的机器没有配置AMT、ISM或SBT，仍有可能易受攻击，而不是仅仅通过网络被黑。”

德梅尔吉安还指出，现在计算机厂商有义务发布数字签名的固件补丁，供用户和IT管理员安装。那意味着，如果你的硬件供应商是戴尔、惠普或联想之类的大牌厂商，有望立马获得补丁。如果是藉藉无名的白盒系统经销商，那你可能没辙：在这个微利润行业，发布安全、加密和固件之类的技术或服务是非常困难的工作。换句话说，你可能根本得不到所需的补丁。

AMT是什么东东？

AMT是一种带外管理工具，可通过网络端口16992来使用，以便访问机器的有线以太网接口：它将全面控制系统的功能暴露在网络面前，让IT人员及其他系统管理员可以远程重启、修复及调整服务器和工作站。它能提供虚拟串行控制台；如果安装了合适的驱动程序，还能提供远程桌面访问功能。如果这项服务暴露在公开互联网面前，那你就危险了。

在授予访问权限之前，理应需要管理员使用密码来验证身份，但是上述安全漏洞意味着，有人在身份未经验证的情况下，就可以随意进入到硬件的控制面板。即使你使用了防火墙，防止外界访问系统的AMT，但是一旦有人或恶意软件进入到你的网络（比如说前台的PC），就有可能钻这个最新安全漏洞的空子，潜入到AMT管理的工作站或服务器的内部深处，对贵公司造成进一步的危害。

AMT是一种在英特尔的管理引擎（ME）上运行的软件，十多年来（自酷睿2在2006年面市以来），这种技术就以某种方式嵌入到芯片组中。它在操作系统内核下面的所谓ring -2的部件这个层面运行，在系统上任何虚拟机管理程序的下面。它基本上就是你计算机中的第二个计算机，可以全面访问网络、外设、内存、存储资源和处理器。有意思的是，该引擎由ARC CPU核心来驱动，而这种核心是16位或32位混合架构，称得上是用于《星际火狐》等超级任天堂游戏的Super FX芯片的“近亲”。没错，为《星际火狐》和《Stunt Race FX》处理3D运算的这款定制芯片是悄然控制英特尔x86芯片的ARC微处理器的前身。

转载请注明出处。