[Vuln] [Intel SA-00086] 인텔 펌웨어 취약점
by 담배맛구마발표일자
Nov 20, 2017
취약점 대상
Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x)
Intel® Trusted Execution Engine (Intel® TXE 3.0)
Intel® Server Platform Services (SPS 4.0)
CVE 값
CVE-2017-5705
CVE-2017-5706
CVE-2017-5707
CVE-2017-5708
CVE-2017-5709
CVE-2017-5710
CVE-2017-5711
인텔에서 외부에서 보안이슈 제보를 했고 분석해보니 잠재적 보안 위협이 되는것을 판단되었다고 한다. 취약점 대상이 되는 버전은 다음 리스트의 프로세서에서 찾아볼 수 있다
1st, 2nd, 3rd, 4th, 5th, 6th, 7th, and 8th generation Intel® Core™ Processor Families
Intel® Xeon® Processor E3-1200 v5 and v6 Product Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon® W Processor
Intel Atom® C3000 Processor Family
Apollo Lake Intel Atom® Processor E3900 series
Apollo Lake Intel® Pentium® Processors
Intel® Pentium® Processor G Series
Intel® Celeron® G, N, and J series Processors
물론 위 프로세서를 쓴다고 해서 모두 해당되는 것은 아니고 인텔에서 OS환경(Windows, Linux) 에 따라 별도 툴을 제공하고 있다. 툴이라고 해봤자 그냥 MEInfo 이용해서 취약대상 펌웨어가 있는지, 그 버전이 뭔지 체크만 한다.
Windows
- .Net 4.0으로 제작되었고 GUI 모드와 콘솔(CMD)에서 실행가능한 두 가지 UI를 제공
- 윈도우 업데이트가 진행이 느린 독립/단독망의 경우 최신 인증서 업데이트가 필요하다(Comodo)
- 실행하면 결과 파일이 동일 경로에 Log, xml 및 레지스트리에 남음
- 사용자 환경의 TEMP 폴더에 임의의 폴더 생성을 하는데 그 안에 MEInfo 등의 툴들이 있음
- 그래서 너무 많이 실행하면.. TEMP 폴더 더러워짐
Linux
- Python 2.7로 제작됨
- CentOS에서 실행은 잘됨 나머지는 모르겠
툴 사용법은 같이 동봉된 PDF 파일 참고하면 아주 잘 나와있어서 확인할 필요가 있다.
MEInfo를 사용을 하려면 Intel Management Engine Interface 드라이버가 설치가 되어 있어야 한다. 미설치된 상태로 툴을 실행하게 되면 결과를 This system may be vulnerable. 이라고 출력해서 의미가 없어진다.
인텔에서 제공하는 툴에서 다 알아서 설치해주는건 아니고.. 메인보드 찾아서 별도로 설치해줘야 한다. Windows 환경에서는 장치관리자의 시스템장치에서 Intel Management Engine Interface가 있는지 확인하면되고 Linux 환경에서는... 모르겠다. 알고싶지 않다.
간혹, 장치관리자에 있는 Intel Management Engine Interface를 Intel Management 버전으로 오해하는 경우가 있는데 그러지 않길 바란다.
이는 보안업데이트를 진행할 때에도 동일하게 적용되는 사항이다. 각 메인보드 제조사에서 제공하는 업데이트 파일도 MEInfo를 써서 버전을 현재 Intel ME 버전을 확인할 것이기 때문이고 실제로도 대부분 업체의 업데이트 파일이 그러하다.
보안업데이트는 인텔에서 사용자에게 직접적으로 제공하지는 않는다. 인텔에서 보안 업데이트가 적용된 버전을 메인보드 제조사로 제공을 하고 각 메인보드 제조사들은 이를 자사 제품에 맞게 커스텀해서 제공을 할 것이다.
구글링하다보면 인텔에서 메인보드 제조사로 제공한 그 파일을 바로 적용할 수 있도록 공유하는 글들이 보이는데, 위험하고 해당 글에서도 메인보드 제조사에서 제공을 안해주는(오래되어서) 경우에만 적용하라고 권고하고 있다.
1. [인텔] 공식 게시글
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
2. [인텔] 취약점 조치 지원관련 게시글
https://www.intel.com/content/www/us/en/support/articles/000025619/software.html
3. [인텔] 공식 취약점 점검 툴
https://downloadcenter.intel.com/download/27150?v=t
4. [KISA] 보안공지
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26847
5. [BLOG] Intel Management Engine 관련 모든 내용들
https://www.win-raid.com/t596f39-Intel-Management-Engine-Drivers-Firmware-amp-System-Tools.html
메인보드 제조사별 업데이트 관련 내용
1. ASRock : https://www.asrock.com/microsite/2017IntelFirmware/
영어들을 잘 읽어보고 해당하는 걸 다운로드 받으면 되고 Windows 64bit와 DOS를 지원하는 경우가 있는데 진짜 말그대로 Windows 64bit가 아니면 DOS를 사용해서 부팅후 설치하면된다. Rufus 툴 이용해서 USB로 해도되고 CD로 하려면 DOS이미지를 하나 만들어야 한다. 2018/05/02 - [BLablA] - Bootable DOS by CD For Firmware Update
2. Gigabyte : https://www.gigabyte.com/Press/News/1582
걍 설치하고 실행해야하는데 지금 B17 버전과 B18버전이 둘다 있음
B17은 무설치형, B18은 설치형이며 조금더 용량이 크다
3. Samsung : 없다.
관련되어서 없다. Intel SA-00075와 유명한 Meltdown, Spectre인 Intel SA-00088와 헷갈리지 않도록 한다. 제공하더라도 별도 삼성업데이트라는 프로그램을 통한다. 물론 다른 PC, 노트북에 해당하는 업데이트 파일을 받을순 있다.
'Secu-' 카테고리의 다른 글
[Vuln] [Intel SA-00125] 인텔 펌웨어 취약점 (2) | 2018.10.11 |
---|---|
[Vuln] .Net Framework Update (0) | 2017.09.22 |
overthewire : NATAS (2) | 2016.05.22 |
overthewire.org : Bandit (0) | 2016.01.17 |
유무선공유기 DNS 변조 발견과 대처 (0) | 2015.04.07 |
블로그의 정보
정윤상이다.
담배맛구마