ME

英特爾管理引擎的簡稱

Intel ME是Intel Management Engine的簡稱,中文翻譯為英特爾管理引擎,Intel ME是指Intel晶元中一個獨立於CPU和操作系統的微處理器。ME裡面有用於遠程管理的功能,在出現嚴重漏洞的時可以在不受用戶操控下遠程管理企業計算機。

官方介紹


ME(英特爾管理引擎)是一個嵌入式微控制器 (集成在一些英特爾晶元組上),它運行著一個輕量級微內核操作系統,為英特爾 processor–based 計算機系統提供各種功能和服務。

功能


功包括(限):
• 低功耗、()管服務
• 能力許可服務(CLS)
• 防盜保護
• 受保護的音頻視頻路徑(PAVP)
在系統初始化時,ME 從系統快閃記憶體中載入其代碼。這允許 ME 在主操作系統啟動之前啟動。對於運行時數據存儲,ME 可以訪問受保護的系統內存區域(除了少量的晶元緩存內存,以便更快、更高效地處理)。
ME 的基本功能是它的電源狀態與主機 OS 電源狀態無關。當微處理器和系統的許多其他組件處於更深層次的休眠狀態時,此功能允許它出現。因此,只要將電源應用於系統,ME 就可以是一個完全功能的組件。此功能允許它從 it 管理控制台響應 OOB 命令,而不必喚醒系統的其餘部分。因此,功耗大大降低。

出現原因


Intel Huron River 平台之後的南橋晶元PCH(Platform Controller Hub),intel 為 PCH 開發一個程序(intel Management Engine)主要用於管理 PCH 與其他固件之間的協調溝通作用,以讓系統達到最高性能和最協調的效用。
ME 驅動一般會與 BIOS/EC 程序打包在一起,通過 Flash BIOS(快閃記憶體)進行升級。
ME 是一個有別於CPU的獨立系統,本身其實就是一大堆固件代碼實現的功能,比較關鍵的是 ME 裡面有用於遠程管理的功能,它可以在不受用戶操控下遠程管理企業計算機。

結構設計


這個子系統主要由運行在一個單獨的微處理器上的專有固件組成,可以在操作系統開機啟動時執行一些任務,無論彼時計算機是在運行或是休眠。只要晶元或系統級晶元(SoC)連接到當前系統(通過電池或電源),即使當前系統是關機狀態,它依然會持續運行。英特爾聲稱管理引擎需要用來提供完整的性能。其確切工作很大程度上是沒有記錄的,它的代碼使用直接存儲在硬體中的機密哈夫曼表進行混淆,因此固件不包含解碼其內容所需的信息。英特爾的主要競爭對手AMD在其2013年後的幾乎所有的CPU中都加入了等效的AMD安全技術(正式名稱為平台安全處理器)。

軟體介面


Intel MEI(Intel Management Engine Interface)又稱英特爾管理引擎介面,是Intel針對其晶元組推出的一款晶元熱能管理驅動,該驅動程序主要為 intel ME 提供軟體介面。

與AMT的關係


管理引擎經常與Intel主動管理技術(Intel AMT)混淆。AMT基於ME,但僅適用於使用vPro的處理器。AMT使計算機擁有者能夠遠程管理他們的機器,例如打開關閉計算機以及重新安裝操作系統。然而自2008年以來,ME本身就被嵌入到所有英特爾晶元組中,而不僅僅是那些具有AMT的晶元組。雖然AMT可以不由計算機擁有者監管,但沒有官方文檔化的方式來禁用ME。

安全性問題


問題緣由

intel ME 是一個自主運行的子系統,自2008年起被納入幾乎所有的英特爾處理器晶元。它是英特爾主動管理技術的一部分,它允許系統管理員遠程執行機器上的任務。如果公司購買英特爾主動管理技術軟體並配置其機器使用它系統管理員可以打開和關閉計算機,無論是否安裝了操作系統,他們都可以遠程訪問計算機。

專家抨擊

電子前沿基金會(EFF)和安全專家達米恩·扎米特(Damien Zammit)等抨擊者指責ME是一個後門和一個隱私隱患。扎米特強調,ME可以完全訪問存儲器(沒有父CPU具有任何知覺);可以完全訪問TCP/IP堆棧,並可以獨立於操作系統發送和接收網路數據包,從而繞過其防火牆。對此英特爾回應“英特爾不會在產品中放置後門,也不會讓我們的產品在沒有最終端用戶的明確許可情況下允許英特爾控制或訪問計算系統”中立性有爭議的作品和“英特爾沒有也不會設計進入其產品的後門。最近的報道聲稱是有誤導性和公然虛假的。英特爾並不會努力去降低其技術的安全性。”

英特爾官方回應

2017年5月1日,英特爾在其管理技術中確認了遠程特權漏洞(SA-00075)。每個採用英特爾標準管理,主動管理技術或小型企業技術的英特爾平台,從2008年的Nehalem微架構到2017年的Kaby Lake微架構,都有一個可遠程利用的安全漏洞。有幾種方法可以在未經授權的情況下禁用ME,但這可能會導致ME的功能被破壞。ME中這些附加的重大安全缺陷影響了相當數量的集成了TXE(Trusted Execution Engine)和SPS(Server Platform Services)固件的計算機,從2015年的Skylake微架構到2017年的Coffee Lake微架構,這些缺陷都已在2017年11月20日被Intel確認(SA-00086)。不同於SA-00075,這個缺陷甚至是在AMT不存在或沒有配置,或者ME被任何已知的非官方方法“禁用”的情況下依舊存在。2018年7月,披露了一組漏洞(SA-00112)。2018年9月又發布了另一個漏洞(SA-00125)。

網路輿論

ME中存在高危級別安全漏洞,攻擊者可以利用該漏洞進行英特爾產品系統的遠程控制提權。
據一位業內人士介紹:“(ME)其實並不是什麼秘密。10幾年前做Bios的時候就有(ME),Bios代碼做好后要用Intel的ME工具把Bios和ME固件一起打包,然後燒到Bios晶元里,那時候ME固件已經有4兆大了,Bios才2兆......(ME)漏洞一直有,有人研究就能找到漏洞”。
對於ME存在的漏洞,國外科技曝料網站Semiaccurate表示:5年前就開始向英特爾公司提這個漏洞,英特爾公司10年來對該漏洞不屑一顧。