网络安全公司 Embedi 研究人员 Maksim Malyutin 于今年 3 月发现 Intel Management Engine（IME） 存在一处高危漏洞（CVE-2017-5689），允许黑客用作后门攻击时执行恶意活动。随后，莫斯科安全机构 Positive Technologies（以下简称 PT） 于今年 9 月找到一种利用 IME 漏洞展开黑客攻击的最新技术，并计划将在 12 月举行的欧洲 Black Hat 安全会议上展示。 自 2008 年起，英特尔处理器平台都内置了一个低功耗的子系统 ME，其包含一个或多个处理器核心并与平台控制器中枢芯片协同使用，是 Intel 的一个固件接口，用于处理器与外围设备的通讯传输。 然而，事情并未结束。PT 研究人员近期发表一份安全报告，旨在提供关于该漏洞利用技术的更多细节，即从目标设备的 USB 接口触发漏洞访问系统，从而允许任何主板上都可运行无符号代码。此外，知情人士透露，该漏洞技术可以通过以下两种方式加以利用： 1、非特权网络攻击者可以通过获取系统特权配置英特尔主动管理技术（AMT）和英特尔标准可管理性（ISM）加以利用： CVSSv3 分值为 9.8   / AV：N / AC：L / PR：N / UI：N / S：U / C：H / I：H / A：H 2、非特权本地攻击者可以通过获取非特权网络或本地系统特权配置英特尔可管理性特性（ISM）加以利用：  CVSSv3 分值为 8.4   / AV：L / AC：L / PR：N / UI：N / S：U / C：H / I：H / A：H PT 研究人员表示，他们已经利用英特尔管理引擎的硬件进行了调试（JTAG），并通过英特尔 USB 接口（DCI）获得了对所有 PCH 设备（平台控制器中心）的访问权限。不过，这种技术仅影响 Skylake 及新平台的处理器。目前，研究人员表示暂时无法彻底移除 IME 组件，因为它被植入于计算机中最核心的中央处理器里。而现在唯一的预防手段，就是关闭 IME 固件。 原作者：Pierluigi Paganini，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

网络安全公司 Positive Technologies 研究人员将于 12 月举行的欧洲 Black Hat 安全会议上报告针对英特尔 Management Engine 漏洞的利用。 自 2008 年起，英特尔处理器平台都内置了一个低功耗的子系统 Management Engine（ME），它包含了一个或多个处理器核心、内存、系统时钟、内部总线、保留的受保护内存、有自己的操作系统和程序、能访问系统主内存和网络。 ME 能完全访问和控制 PC，能启动和关闭电脑、读取打开的文件、检查所有运行的程序、跟踪按键和鼠标移动，甚至能捕捉屏幕截图，其功能可视为系统的 “上帝模式”。研究人员称，ME 运行了一个修改版的 MINIX 操作系统——就是与 Linus Torvalds 展开著名论战的荷兰 Vrije 大学教授 Andrew Tanenbaum 开发的微内核。 此外，研究人员还在 Intel ME v11+ 上发现了一处漏洞，允许攻击者在 ME 所在的平台控制单元运行未签名代码。主系统的用户可能察觉不到他们的计算机包含了一个无法清除的恶意程序。 稿源：solidot奇客，封面源自网络；

据外媒 8 月 29 日报道，莫斯科安全机构 Positive Technologies （以下简称 PT）研究人员近期发现 Intel Management Engine 11 存在 “ 死亡按钮 ”，允许黑客用作后门攻击。 Management Engine（管理引擎）由微控制器组成，与平台控制器中枢芯片协同使用，是 Intel 的一个固件接口，用于处理器与外围设备的通讯传输。 安全专家此前曾警告英特尔管理引擎存在漏洞风险，即攻击者可以利用 Intel ME 漏洞（CVE-2017-5689），在受影响的系统上建立后门并对其进行全方位控制。调查显示，该漏洞影响了 Intel  ME 技术（如主动管理技术 AMT、小型企业技术 SBT 与英特尔标准可管理性 ISM），允许黑客远程接管易受攻击的目标系统。目前，官方尚未发布漏洞修复补丁。 研究人员表示，一款名为 ME Cleaner 的黑客工具，虽然可以绕过 Intel ME 引擎，但无法彻底禁用芯片级别。另外，PT 于本周一发表声明，宣称美国国家安全局的高保障平台 HAP 可以通过修改配置文件封堵漏洞。然而， Intel 并不建议该做法，因为这种根据特定需求开发的工具缺少足够的安全评估时间。 本文根据 securityaffairs.co 与 凤凰科技 联合翻译整理，编辑：青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

6 月 22 日消息，据国外媒体报道，英特尔于当地时间周三表示，作为战略合作伙伴，英特尔公司已经加入了以色列网络安全初创公司 Team8，帮助解决最大的网络安全问题。 英特尔是世界上最大的芯片制造商，加入了 Team8 集团，而该集团还包括联合成员微软，思科，高通，AT&T（TN），花旗集团，埃森哲，诺基亚，Bessemer Venture Partners 和 Eric Schmidt 的Innovation Endeavors。以色列有大约 450 家网络初创企业，它们获得了全球 20% 的投资。尽管对安全的需求正在迅速增长，但初创企业的增多意味着，有几家公司在每个子领域都有竞争。 Team8 已经启动了两家网络公司 Claroty 和 Illusive Networks，另外两家将很快跟进。Team8 的联合创始人兼首席执行官 Nadav Zafrir 表示，一家公司将在几周内走出隐形模式，而另一家公司在 2018 年初也会进行同样的操作，但没有详细说明。他指出，每个集团成员对网络有不同的看法。Zafrir说：“花旗帮助我们从财务角度看待世界，英特尔的加入将使我们看到计算机，汽车，云计算，移动和物联网等网络安全方面的挑战。我们可以在网络问题出现之前一起解决。” 英特尔还将与 Illusive 合作，一旦攻击者使用欺骗技术进入企业网络，即可捕获他们，从而帮助打击所谓的高级持续威胁（Advanced Persistent Threats，简称 APTs）。Illusive 说，Illusion 和 Intel 之间的联盟将基于欺骗性的网络安全从软件扩展到硬件。 英特尔平台安全部门的总经理 Jacob Mendel 说：“我们与 Illusion 网络的合作使得用户能够在攻击的早期阶段对复杂的 APT 进行更有效的防御，否则这些攻击将不被发现，并对企业和个人造成巨大的威胁”。 稿源：TechWeb.com.cn，作者:小狐狸

微软安全团队报告了一个恶意程序家族，将英特尔 Active Management Technology (AMT) Serial-over-LAN ( SOL ) 接口用作文件传输工具。 AMT SOL 是英特尔 Management Engine(ME) 的一部分，运行独立的操作系统，能在主机关闭的情况下工作，它被广泛批评是安全隐患或后门。 据悉，通过 AMT 的未经授权访问不会被主机记录下来，当 AMT 启用之后，所有的网络数据包会重定向到 ME，然后再到 AMT，绕过了主机操作系统，使用 AMT SOL 窃取数据不会被主机操作系统安装的防火墙和安全产品发现。 微软将开发该恶意程序的黑客组织称为 PLATINUM，它被认为是某个国家的网络间谍团队，主要目标是南中国海附近的东南亚国家。PLATINUM 活跃的最早时间不晚于 2009 年，每年专注于少数目标，以避免暴露。 稿源：cnBeta、solidot奇客，封面源自网络

英特尔芯片出现一个远程劫持漏洞，它潜伏了 7 年之久。本月 5 日，一名科技分析师刊文称，漏洞比想象的严重得多，黑客利用漏洞可以获得大量计算机的控制权，不需要输入密码。 英特尔主动管理技术（AMT）功能允许系统管理者通过远程连接执行多种繁重的任务，包括：改变启动计算机代码、接入鼠标键盘和显示器、加载并执行程序、通过远程方式启动设备等。 许多 vPro 处理器都支持 AMT 技术，如果想通过浏览器界面远程使用它必须输入密码，然而，英特尔的验证机制输入任何文本串（或者连文本都不要）都可以绕过。Tenable Network Security 刊发博客文章称，访问认证时系统会用加密哈希值（cryptographic hash）验证身份，然后才授权登录，不过这些哈希值可以是任何东西，甚至连文字串都不需要。Tenable 逆向工程主管卡罗斯·佩雷兹（Carlos Perez）指出，即使输入错误的哈希值也可以获得授权。 还有更糟糕的地方。一般来说，没有获得验证的访问无法登录 PC，因为 AMT 必须直接访问计算机的网络硬件。当 AMT 启用时，所有网络数据包会重新定向，传到英特尔管理引擎（Intel Management Engine），然后由管理引擎传到 AMT。这些数据包完全绕开了操作系统。 Embedi 是一家安全公司，英特尔认为它是首先发现漏洞的公司，Embedi 技术分析师也得出了相同的结论并以邮件形式将分析结果发给记者，未在网上公布。英特尔表示，预计 PC 制造商在本周就会发布补丁。新补丁会以英特尔固件的形式升级，也就是说每一块存在漏洞的芯片都要刷新固件。与此同时，英特尔鼓励客户下载并运行检查工具，诊断计算机是否存在漏洞。如果工具给出正面结果，说明系统暂时是安全的，安装补丁才能真正安全。富士通、惠普、联想等公司也针对特殊机型发出警告。 稿源：cnBeta 节选，封面源自网络

近十年来，英特尔处理器随附的远程管理功能潜藏着一个关键漏洞，能允许攻击者完全控制不安全网络上的计算机设备。目前官方已释出补丁修复了这一芯片远程代码执行漏洞。 英特尔在其安全公告中将漏洞评级为“高危”，可允许无特权攻击者控制服务器上的可管理性功能。漏洞存在于英特尔主动管理技术（AMT），标准管理（ISM）和小型企业技术（SBT）当中，涉及版本号 6.x，7.x，8.x 9.x，10 .x，11.0，11.5 和 11.6。 官方特别给出了两个例子： ○ 无特权网络攻击者可通过英特尔管理功能来获得系统权限，影响以下 SKU —— AMT、ISM、SBT（CVSSv3 9.8 Critical /AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）。 ○ 无特权本地攻击者可通过英特尔管理功能来获得获得网络或本地系统权限，其影响以下 SKU —— AMT、ISM、SBT(CVSSv3 8.4 High /AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。 英特尔官方表示，这一漏洞将会影响 2008 年至 2017 年推出的许多芯片，不过这并不意味着 2008 年以来的每个因特尔系统都能被黑客接管，因为大多数系统并不附带或者并未使用 AMT 等技术，目前也没有迹象表明这一漏洞允许在 ME 上执行任意代码，基于 Intel 的消费者 PC 上更不存在此漏洞。 但由于许多受影响的设备不再从其制造商接收固件更新，这一漏洞将造成广泛且持久影响。   自我诊断四步走： 1、确定系统中是否拥有英特尔 AMT、SBA 或支持英特尔 ISM 功能： https://communities.intel.com/docs/DOC-5693 如果您确定系统中没有 AMT、SBA 或 ISM，则无需采取下一步措施。 2：利用“检测指南”来评估系统是否具有受影响的固件： https://downloadcenter.intel.com/download/26755 如果你拥有的固件标记在“已解决”一列，则无需采取下一步措施。 3：固件更新。目前可修复的固件四位内置版本号均以“3”开头（如 XXXX.3XXX） 4：如果您的OEM无法使用固件更新，这份文档将提供缓解措施： https://downloadcenter.intel.com/download/26754 更多漏洞情报欢迎关注 HackerNews.cc，我们将为您追踪事件最新进展。 本文据 arstechnica、dreamwidth 编译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

来自格拉茨科技大学的科学家团队揭示了一种新方法，可以从英特尔  SGX （软件防护扩展）enclaves 获取加密数据。 英特尔 SGX 是一组来自英特尔的新指令，它允许用户级代码分配专用区域的内存，称为 enclaves 。与正常的内存处理方法截然不同，它不仅受到了保护，也避免了高级权限运行的影响。 安全研究团队根据 PoC 开发的“超级恶意软件 ”表明，恶意软件攻击 enclaves 主机系统的可能性是存在的。他们也证实了在 enclaves 内的缓存攻击是根据其分离的加密密钥的定位所进行的。 研究人员表示，恶意软件能够通过监视 RSA 模块签名过程，利用高速缓存的访问模式来恢复 RSA 密钥，防止 enclaves 在读取或操纵内存时，遭受硬件的攻击。为了保护包围区代码的完整性，加载过程由 CPU 测量。如果得到的测量值与开发者指定的数值不匹配，CPU 将拒绝运行 enclaves 。 稿源：digitalmunition.me ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

通常系统管理员很难跟上恶意软件发展速度，保持网络安全必须让管理员有资讯有能力处理最新漏洞。现在，英特尔安全集团（以前称为 McAfee ）发布了全新“安全威胁通知面板”，根据黑客利用这些漏洞攻击的流行程度，这种通知面板显示了最重要和最相关的安全威胁。 通知面板不仅显示不同类别中的前十大安全威胁，而且显示了流行的漏洞 exploit 工具包和勒索软件，以及它们之间的活动情况。比如英特尔会在通知面板当中警告管理员，某个安全威胁开始于 2016 年初，包括多个网站受到 Neutrino、Nuclear 和 Angler 攻击，采用 CryptXXX、Locky 和 Zepto 勒索软件工具包。 此外，英特尔为每个威胁增加了“风险评分”和“媒体评分”，从而让管理员更容易决定首先修补哪些漏洞，让系统管理员更容易掌握最新的安全风险。 稿源：cnBeta，有修改；封面：百度搜索

英特尔 Atom C2000 芯片家族存在缺陷会导致使用该芯片的产品停止工作。芯片巨人没有披露受影响的产品和存在缺陷的芯片数量，但已经预留了一笔资金处理该问题。 在这之前，思科发出警告称， 2016 年 11 月 16 日前出售的路由、光网络和交换机产品包含了一个有缺陷的时钟元件，会导致设备在运行 18 个月后加速发生故障。思科没有披露元件供应商的名字，但根据芯片巨人自己公布的 Atom C2000家族 修订版文档，英特尔就是思科的供应商。英特尔在文档中称，缺陷可能会导致 Atom C2000 Low Pin Count 总线时钟输出停止工作，而如果 LPC 时钟停止工作，系统也将无法启动。存在缺陷的产品型号是  Atoms C2xxx B0 步进，英特尔从 2013 年开始供应这些产品。 稿源：solidot奇客；封面来源于网络