CPU漏洞危及全球应如何应对

马汉

近日，安全公司Positive Technologies发布报告称，英特尔管理引擎（Intel Management Engine，以下简称IME）存在严重漏洞，黑客能够通过该漏洞完全控制目标计算机，甚至关机状态下都可以。这一新闻当时就在圈内引起了一阵恐慌，因为这意味着全世界绝大多数PC都成了被攻击的潜在对象，而近期英特尔的一则声明更是让人背后发凉：

英特尔承认公司最近数年售出的PC芯片全部存在多个严重的软件安全缺陷，包括2015年以后推出的第六代、第七代以及最新的第八代酷睿芯片。

那么这个漏洞的危險性究竟有多高？

让我们先来认识一下IME，IME最开始是用来监控、协调处理器芯片组中诸多模块的，以获得最好的性能和功耗平衡。而后期英特尔又为其赋予了检查操作系统、管理员远程控制（企业中经常会用到），还有从应用更新到故障排除等等一系列功能。英特尔也在官网中表示系统出现任何问题都不可能是IME的故障，因为IME本质上运行在一颗微处理器上，也侧面证明了IME确实是可以完全独立运行的。

可能还是有朋友不理解，为什么一块负责运算的CPU也会出现漏洞呢？其实IME一开始并不在CPU中的，随着越来越多的芯片、功能被集成到CPU的芯片组中，酷睿处理器早就不只是一个负责计算的工具了，反而更像是移动SoC那样的芯片组，而IME也随着这个过程进入了CPU之中，位于南桥PCH芯片组中。

正因如此，有不少人会以为IME的这个漏洞会拥有最高的运行权限，也就是Ring -3（平时用的软件权限为Ring 3，最低；操作系统为Ring 0，较高；而BIOS的权限是Ring -2），如果运行IME的权限为Ring -3，那一旦被控制，真的是可以为所欲为了，用户甚至连访问黑客植入的恶意软件都做不到，更别说清除了。

甚至还有人认为，这样拥有最高权限的漏洞，很有可能就是英特尔故意留的后门。毕竟英特尔早在2008年就已经开始使用IME技术了，而因为这项技术能够独立于系统和其他硬件来完成一些管理任务，并且用户无法移除它（因为它是物理存在的，你只能关掉它的固件），所以电子前沿基金会（EFF）一直很反对在CPU中使用IME。可是英特尔一直特立独行，直到这次东窗事发，这么看来确实值得怀疑。

虽然对于IME的质疑从来没有间断过，但是直到最近安全公司Positive Technologies表示他们已能够通过USB接口，在运行IME的计算机上执行未经签名的代码，这才引起了英特尔的重视，然后在近日发布了声明。

其实早在这家安全公司发布声明之前，谷歌就已经发现IME运行的是一个名为MINIX的操作系统，正是它获取了Ring -3权限，而谷歌一直都在尝试着从自家服务器的CPU中移除MINIX，但是却没能成功。而在这次英特尔宣布IME存在漏洞之后，谷歌也第一时间停止了IME固件。

而英特尔自己表示，他们已经开发了补丁软件来修复问题，现在已经有联想和戴尔提供了修复固件，并且还建议企业、用户应该与设备制造商和供应商核实系统升级情况，并且尽快进行任何可用的升级。不过对于实在不放心的用户来说，直接关闭掉IME也是不错的选择，在设备管理器中就能找到。

如果你连关闭固件也不放心，那考虑不含IME组件的产品或者是转投AMD或许也不错，旧金山就有一家名为Pruism的公司主打禁用IME的笔记本产品，该公司CEO表示Purism之所以很早就禁用了IME，是因为他们知道IME从威胁变成现实只是时间上的问题，一名攻击者可以再不借助任何高级软硬件的情况下完全控制一台计算机，不管是加密存储、密码密匙、机密文件全都无所遁形。

不过话说回来，虽然IME确实是一个非常严重的漏洞，但是不是真的能有大家说的那么可怕其实还是要打上一个问号，有专业人士表示，虽然IME存在于CPU芯片组中，但两者其实是独立工作的，所以IME或许并不能控制CPU。

而且我们的PC中每个硬件其实都会有固件，比如网卡、显卡等等，只不过IME存在于芯片组中所以格外受关注，但其实英特尔芯片组中还有英特尔服务器平台（Server Platform）和英特尔可信执行引擎（Trusted Execution Engine）等部分，不少大神认为固件存在漏洞是非常正常的事情。

至于后门的问题，只有英特尔自己知道有没有了，包括前面提到的MINIX操作系统的作者Andrew S. Tanenbaum也很担忧，他表示“因为自己没有参与英特尔的这个项目”。

总而言之，这里建议大家如果不是很依赖IME的某些功能，那么不如手动关闭它。