2015年以降のインテルCPUの脆弱性チェックプログラム

やめて!
japanese.engadget.com

あるものはしょうがないので研究室の該当マシンをチェック。ただ、使い方がいまいちわからなかったのでメモ。

判定ツールの結果の解釈

判定ツールのファイルに含まれているドキュメント Intel-SA-00086_Detection_UG.pdf の9ページ表2.2を転載する。

Message(表示されるメッセージ) Meaning(意味)
Vulnerable(脆弱性あり) The detected version of the Management Engine firmware is considered vulnerable for INTEL-SA-00086.
Not Vulnerable (脆弱性なし) The system meets the “Not Vulnerable” criteria described in Identifying impacted systems using the INTEL-SA-00086 Detection Tool
Maybe Vulnerable (わからない) Tool could not communicate with the MEI/TXEI Driver. Platform vulnerability cannot be ascertained. (意訳:検出ツールがMET/TXEIドライバーにアクセスできなかった。このため、脆弱性があるのかどうか判定できなかった)
Unknown (超わからない) 意味省略

この検出ツールで困るのは、 MEI/TXEIドライバーにアクセスできなかったときに「Maybe Vulnerable」を出してくるところ。今回のCoreプロセッサーは第6~8世代(Skylake、Kaby Lake、Kaby Lake R)が対象なところ、試したのはCore i3 530(Nehalem 世代) で検出ツールを動かした結果「Maybe Vulnerable」と判定された。このため、古いPCを調べる場合は、対象のプロセッサーかどうかの判定も必要となる。

ダウンロード

Windows用でも、Linux用でもこちらのサイトからダウンロードできる。
downloadcenter.intel.com

WIndowsの場合

ダウンロードしたZIPファイルを解凍する。解凍したフォルダに移動する。さらに「DiscoveryTool.GUI」フォルダに移動する。
f:id:next49:20171124125358p:plain

以下のようなファイルがあるので「Intel-SA-00086-GUI.exe」を実行する(必要に応じて管理者権限で実行する。ファイルを選択し、右クリック「管理者として実行(A)」を選択する)。
f:id:next49:20171124125417p:plain

しばらくたつと結果が以下のように表示される。もし、「Vulnerable(脆弱性あり)」ならば、「モデル」の項に記載されているメーカーのWebサイトからファームウェアを探し、インストールする。「Not Vulnerable (脆弱性なし)」なら、問題なし。「Maybe Vulnerable (わからない)」であるならば、「プロセッサー名」の情報を参考に今回の脆弱性の対象CPUであるかどうかを調べる。たとえば、以下の例の場合はGoogleで「Core i3 530」と検索したところja.wikipedia:Intel Core i3のページが見つかり、530はNehalem 世代であるため、脆弱性対象の世代(Skylake、Kaby Lake、Kaby Lake R)ではないことが確認できた。
f:id:next49:20171124125427p:plain

Linux の場合

SA00086_Linuxtar.gzをダウンロードし、調べたいサーバに持っていく。ホームディレクトリにファイルを置いたとする。

% mkdir IntelCPUCheck
% cd IntelCPUCheck
% tar xvfz ~/SA00086_Linuxtar.gz

./documents/Intel-SA-00086_Detection_UG.pdf に説明がある。Linux版の実行にはPython 2.7が必要。pythonが存在するかどうかはwhichコマンドで確認できる(何も反応がなければpythonはインストールされていない)。pythonのバージョンは以下のように確認できる。

% which python
% python --version

ツールを実行する。

% sudo ./intel_sa00086.py

実行結果の例。

INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128
Scan date: 2017-11-24 03:20:37 GMT

*** Host Computer Information ***
Name:「サーバのホスト名」
Manufacturer: ASUS
Model: All Series
Processor Name: Intel(R) Xeon(R) CPU E3-1226 v3 @ 3.30GHz
OS Version: debian 8.9  (3.16.0-4-amd64)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 9.1.10.1005
SVN: 0

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable.

For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

関連リンク

  • HPのファームウェア
    • HPのファームウェアは機器ごとに対応している様子。HP Software and Driver Downloads for HP Printers, Laptops, Desktops and More | HP® Customer Supportのページに使用しているモデルの情報を入力してドライバーのダウンロードのページへ移動し、「Driver-Chipset」→「Intel Management Engine Driver」を探す。「Detail」をクリックし、そこの説明に「Intel-SA-00086」という記載があったら、対応済みのドライバー。