IntelのManagement Engine等に脆弱性あり

Intel製CPU(MotherBoard)で使用されている機能、Intel Management Engine(ME)、Intel Server Platform Services(SPS)、およびIntel Trusted Execution Engine(TXE)に脆弱性があり、BIOSアップデートといった対応が必要となっています。
Intel公式サイトのアナウンス: Intel® Product Security Center Intel Q3’17 ME 11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update

Intel公式サイトでは英語情報しか出ていないので、Intel Management Engineなどに8個の脆弱性が発見 ~第6世代Core以降が影響、ThinkPadなどがすでに対策開始 - PC Watchを読んだ方が、脆弱性の内容などについて分かりやすいと思います。

今回公表された脆弱性があるかどうか確認する為のツールが公開されたという事でなので、それを使って確認することが可能です。
参考URL: Intel製CPUに特権の昇格の脆弱性、公式チェックツールがWindows/Linux向けに公開 - 窓の杜

早速、Intelのサイトからツールをダウンロードして使用してみました。

Intel-1.png

Download Intel-SA-00086 Detection Toolにアクセスして、SA00086_Windows.zipをダウンロードしました。

SA00086_Windows.zipを展開(解凍)するとSA00086_Windowsというフォルダーが作成されます。SA00086_Windows→DiscoveryTool.GUI→Intel-SA-00086-GUI.exeとクリックしてツールを起動します。

Intel-2.png

ツールが正常に起動すると、脆弱性をチェックした結果が表示されます。

今回チェックしたパソコンは、部品を購入して自分で組み立てた物です。マザーボードは、ASUSのH170-PROという製品を使用していますので、ASUSのサイトから更新されたBIOSをダウンロードして、更新しました。メーカー製のパソコンを使用されている場合は、メーカーのサポートで対応方法をご確認ください。

asusのサイトからMEUpdateToolをダウンロードして実行しましたが、正常にアップデート出来ない状況です。

  • GUIで実行→ファイルを開けないというエラーメッセージが表示される。
  • 管理者権限のあるコマンドプロンプトから実行→「Error 8719: Firmware update cannot be initiated because Local Firmware update is disabled」というエラーメッセージが表示される。
    (FWというフォルダー(ディレクトリー)でFWUpdLcl64.exe -F ME.binを実行)

色々と調べていますが、解決の糸口が見つからない状況です・・・。

【2017年12月12日追記】

GUIで実行した時に「Can't open AsIO.sys」というようなメッセージが表示されるので、それをもとに検索してみました。

Windows_10_01.png

Windowsの設定→アプリと開いて確認してみると、「ASUS Boot Setting」というユーティリティが残っており、正常にアンインストール出来ない状況でした。

マザーボードに付属してきたDVDに「ASUS Boot Setting」のインストーラーがあったので、それを実行すると正常にアンインストールが出来ました。

その後、MEUpdateTool.exeを実行したら、正常にアップデートが完了したように見えましたが、Firmwareのバージョンは変わっていませんでした。マザーボードのBIOS設定を見てもFirmwareのアップデート無効という項目が見当たらないので、お手上げ状態になってしまいました。