官方介紹
intel ME(英特爾管理引擎) 是一個嵌入式微控制器 (集成在一些英特爾晶片組上),它運行著一個輕量級微核心作業系統,為英特爾 processor–based 計算機系統提供各種功能和服務。
功能
功能包括(但不限於):
•低功耗、帶外(OOB)管理服務
•能力許可服務(CLS)
•防盜保護
•受保護的音頻視頻路徑(PAVP)
在系統初始化時,ME 從系統快閃記憶體中載入其代碼。這允許 ME 在主作業系統啟動之前啟動。對於運行時數據存儲,ME 可以訪問受保護的系統記憶體區域(除了少量的晶片快取記憶體,以便更快、更高效地處理)。
ME 的基本功能是它的電源狀態與主機 OS 電源狀態無關。當微處理器和系統的許多其他組件處於更深層次的休眠狀態時,此功能允許它出現。因此,只要將電源套用於系統,ME 就可以是一個完全功能的組件。此功能允許它從 it 管理控制台回響 OOB 命令,而不必喚醒系統的其餘部分。因此,功耗大大降低。
出現原因
Intel Huron River 平台之後的南橋晶片叫PCH(Platform Controller Hub),intel 為 PCH 開發一個程式(intel Management Engine)主要用於管理 PCH 與其他固件之間的協調溝通作用,以讓系統達到最高性能和最協調的效用。
ME 驅動一般會與 BIOS/EC 程式打包在一起,通過 Flash BIOS(快閃記憶體)進行升級。
ME 是一個有別於CPU的獨立系統,本身其實就是一大堆固件代碼實現的功能,比較關鍵的是 ME 裡面有用於遠程管理的功能,它可以在不受用戶操控下遠程管理企業計算機。
結構設計
這個子系統主要由運行在一個單獨的微處理器上的專有固件組成,可以在作業系統開機啟動時執行一些任務,無論彼時計算機是在運行或是休眠。只要晶片或系統級晶片(SoC)連線到當前系統(通過電池或電源),即使當前系統是關機狀態,它依然會持續運行。英特爾聲稱管理引擎需要用來提供完整的性能。其確切工作很大程度上是沒有記錄的,它的代碼使用直接存儲在硬體中的機密哈夫曼表進行混淆,因此固件不包含解碼其內容所需的信息。英特爾的主要競爭對手AMD在其2013年後的幾乎所有的CPU中都加入了等效的AMD安全技術(正式名稱為平台安全處理器)。
軟體接口
Intel MEI(Intel Management Engine Interface)又稱英特爾管理引擎接口,是Intel針對其晶片組推出的一款晶片熱能管理驅動,該驅動程式主要為 intel ME 提供軟體接口。
與AMT的關係
管理引擎經常與Intel主動管理技術(Intel AMT)混淆。AMT基於ME,但僅適用於使用vPro的處理器。AMT使計算機擁有者能夠遠程管理他們的機器,例如打開關閉計算機以及重新安裝作業系統。 然而自2008年以來,ME本身就被嵌入到所有英特爾晶片組中,而不僅僅是那些具有AMT的晶片組。雖然AMT可以不由計算機擁有者監管,但沒有官方文檔化的方式來禁用ME。
安全性問題
問題緣由
intel ME 是一個自主運行的子系統,自2008年起被納入幾乎所有的英特爾處理器晶片。 它是英特爾主動管理技術的一部分,它允許系統管理員遠程執行機器上的任務。如果公司購買英特爾主動管理技術軟體並配置其機器使用它系統管理員可以打開和關閉計算機,無論是否安裝了作業系統,他們都可以遠程訪問計算機。
專家抨擊
電子前沿基金會(EFF)和安全專家達米恩·扎米特(Damien Zammit)等抨擊者指責ME是一個後門和一個隱隱私患。 扎米特強調,ME可以完全訪問存儲器(沒有父CPU具有任何知覺);可以完全訪問TCP/IP堆疊,並可以獨立於作業系統傳送和接收網路數據包,從而繞過其防火牆。 對此英特爾回應“英特爾不會在產品中放置後門,也不會讓我們的產品在沒有最終端用戶的明確許可情況下允許英特爾控制或訪問計算系統”中立性有爭議的作品和“英特爾沒有也不會設計進入其產品的後門。最近的報導聲稱是有誤導性和公然虛假的。英特爾並不會努力去降低其技術的安全性。”
英特爾官方回應
2017年5月1日,英特爾在其管理技術中確認了遠程特權漏洞(SA-00075)。 每個採用英特爾標準管理,主動管理技術或小型企業技術的英特爾平台,從2008年的Nehalem微架構到2017年的Kaby Lake微架構,都有一個可遠程利用的安全漏洞。 有幾種方法可以在未經授權的情況下禁用ME,但這可能會導致ME的功能被破壞。ME中這些附加的重大安全缺陷影響了相當數量的集成了TXE(Trusted Execution Engine)和SPS(Server Platform Services)固件的計算機,從2015年的Skylake微架構到2017年的Coffee Lake微架構,這些缺陷都已在2017年11月20日被Intel確認(SA-00086)。 不同於SA-00075,這個缺陷甚至是在AMT不存在或沒有配置,或者ME被任何已知的非官方方法“禁用”的情況下依舊存在。 2018年7月,披露了一組漏洞(SA-00112)。 2018年9月又發布了另一個漏洞(SA-00125)。
網路輿論
ME中存在高危級別安全漏洞,攻擊者可以利用該漏洞進行英特爾產品系統的遠程控制提權。
據一位業內人士介紹:“(ME)其實並不是什麼秘密。10幾年前做Bios的時候就有(ME),Bios代碼做好後要用Intel的ME工具把Bios和ME固件一起打包,然後燒到Bios晶片里,那時候ME固件已經有4兆大了,Bios才2兆......(ME)漏洞一直有,有人研究就能找到漏洞”。
對於ME存在的漏洞,國外科技曝料網站Semiaccurate表示:5年前就開始向英特爾公司提這個漏洞,英特爾公司10年來對該漏洞不屑一顧。