没有vPro的CPU中的英特尔管理引擎漏洞

Question

(ME)带来了安全风险(例如，请参阅这里 )。据我所知，我是英特尔vPro的一部分。没有vPro支持的Intel是否意味着ME功能不全，因此不那么容易受攻击？我在互联网上看到了多个(非权威的，没有链接的)声明，最近所有的Intel CPU都启用了ME。我搞不懂没有vPro支持实际上意味着什么是关于ME和相关的安全问题。

Answer 1

英特尔vPro并不是一个单一的东西，实际上是一组由多个英特尔技术组成的团队，共同提供某种特定的服务。英特尔vPro参考指南列出了这些技术(强调是我的)：

Intel vPro技术是支持增强可管理性、安全性、虚拟化和电源效率的平台功能的集合。关键平台功能包括以下Intel技术：

• Intel Turbo Boost技术提高性能和功率效率
• Intel虚拟化技术(Intel VT)，用于动态虚拟客户端支持和使用虚拟化的其他操作系统或应用程序流技术
• 英特尔超线程技术(Intel HT)
• 英特尔主动管理技术(Intel AMT)以提高可管理性
• 英特尔反-Theft技术(Intel AT)以提高安全性
• 英特尔可信执行技术(Intel TXT)以提高安全性
• 用于增强web安全的Intel身份保护技术(Intel IPT)

这些技术包括英特尔主动管理技术( Intel Active Management Technology )，它允许系统管理员独立于公司计算机的位置和状态进行远程管理:即使是关闭计算机或操作系统无法启动的计算机也可以使用这种技术进行管理。

发生的情况是，一名安全研究人员发现了一个漏洞，该漏洞允许远程、非特权用户控制此管理功能。

正如英特尔的安全咨询所指出的(强调是我的)：

Intel Active Management Technology (AMT)、Intel Standard manageability (ISM)和Intel Small Business Technology版本的固件版本6.x、7.x、8.x 9.x、10.x、11.0、11.5和11.6中存在权限漏洞的升级，这些漏洞可使无特权攻击者控制这些产品提供的可管理性功能。在具有消费者固件的基于Intel的消费PC、利用Intel Server平台服务(Intel SPS)的Intel服务器或使用Intel SPS固件的Intel Xeon处理器E3和Intel Xeon处理器E5工作站上都不存在此漏洞。

AMT是英特尔vPro产品的一部分，在非vPro设备上是不可用的，比如“带有消费者固件的消费PC”和“英特尔服务器使用英特尔服务器平台服务(Intel)”。

因此，没有vPro支持的Intel CPU似乎不容易受到这种攻击，因为它们缺少易受攻击的固件。