具体来说，这个漏洞存在于英特尔的主动管理技术（AMT）、标准可管理性（ISM）和小企业技术（SBT）固件版本6至11.6中。据这家芯片厂商声称，这个安全漏洞让“无特权的攻击者得以控制这些产品提供的可管理性功能。”

那就意味着，黑客有可能登录进入到高危计算机的硬件（该硬件就在操作系统的眼皮底下），利用AMT的功能，悄悄地对机器做手脚，安装几乎无法被察觉的恶意软件，以及搞其他破坏。由于AMT可以直接访问计算机的网络硬件，这种破坏有可能出现在网络上。

近十年来，这些不安全的管理功能存在于众多（但并非所有）的英特尔芯片组中，从2008年的Nehalem酷睿i7开始，一直到今年推出的Kaby Lake酷睿芯片。要命的是，这个安全漏洞就处在机器的硅片的核心位置，而操作系统、应用程序和任何反病毒软件却看不到它。

只有固件层面的更新，才有可能完全解决这个编程缺陷，该缺陷存在于数以百万计的芯片中。它实际上就是潜入全球大批计算机的一道后门。

易受攻击的AMT服务是英特尔的vPro处理器功能系列中的一部分。如果某个系统上有vPro，启用了它，而且AMT已经配置，网络上未验证身份的不法分子就能访问这台系统的AMT控制机制，并加以劫持。如果AMT未经配置，已登录的用户仍有可能钻这个安全漏洞的空子，获得管理员级别权限。如果你的系统根本没有vPro或AMT，那么一点都不用担心。

英特尔认为，这个安全漏洞影响企业系统和服务器系统，因为它们往往有vPro和AMT，并已启用，但不影响针对普通人群的系统，因为这类系统通常没有vPro和AMT。你可以查看该文档（https://downloadcenter.intel.com/download/26755），看看自己的系统是否易受攻击，你应该查看一下。

基本上来说，如果你使用的机器启用了vPro和AMT，你就面临危险。

据英特尔今天声称，这个严重的安全漏洞名为CVE-2017-5689，早在3月份由Embedi的马克西姆·马尔尤廷（Maksim Malyutin）报告。想获得堵住漏洞的补丁，你要向计算机厂商索取固件更新版，或者试试这里的应对措施（https://downloadcenter.intel.com/download/26754）。这些更新版有望在今后几周内发布，应该尽快安装。英特尔公司发言人告诉英国IT网站The Register：“2017年3月，一名安全研究人员发现了使用英特尔主动管理技术（AMT）、英特尔标准可管理性（ISM）或英特尔小公司技术（SBT）的商务PC和设备中存在一处严重的固件安全漏洞，并报告了英特尔。”

“消费级PC并没有受到该安全漏洞的影响。我们没听说有人钻该安全漏洞空子搞破坏的案例。我们已实施并验证了固件更新版，以解决这个问题；我们正在与多家设备生产商合作，尽快提供给最终用户。”

英特尔的具体声明

无特权的网络攻击者有可能获得下列经配置的英特尔可管理性SKU的系统权限：英特尔主动管理技术（AMT）和英特尔标准可管理性（ISM）。

无特权的本地攻击者有可能配置可管理性功能，从而对下列英特尔可管理性SKU获得无特权的网络或本地系统权限：英特尔主动管理技术（AMT）、英特尔标准可管理性（ISM）和英特尔小企业技术（SBT）。

很显然，英特尔的小企业技术并不易受通过网络实现的权限提升的影响。视受到影响的处理器系列而定，无论你使用的是AMT、ISM还是SBT，要留意的已打补丁的固件版本如下：

•  第一代酷睿系列：6.2.61.3535
• 第二代酷睿系列：7.1.91.3272
• 第三代酷睿系列：8.1.71.3608
• 第四代酷睿系列：9.1.41.3024和9.5.61.3012
• 第五代酷睿系列：10.0.55.3000
• 第六代酷睿系列：11.0.25.3001
• 第七代酷睿系列：11.6.27.3264

半导体行业记者查利·德梅尔吉安（Charlie Demerjian）在今天早些时候解释：“简而言之，从2008年的Nehalem直到2017年的Kaby Lake，搭载AMT、ISM和SBT的每个英特尔平台都存在可以被人远程攻击的安全漏洞。”

“即使你的机器没有配置AMT、ISM或SBT，仍有可能易受攻击，而不是仅仅通过网络被黑。”

德梅尔吉安还指出，现在计算机厂商有义务发布数字签名的固件补丁，供用户和IT管理员安装。那意味着，如果你的硬件供应商是戴尔、惠普或联想之类的大牌厂商，有望立马获得补丁。如果是藉藉无名的白盒系统经销商，那你可能没辙：在这个微利润行业，发布安全、加密和固件之类的技术或服务是非常困难的工作。换句话说，你可能根本得不到所需的补丁。

AMT是什么东东？

AMT是一种带外管理工具，可通过网络端口16992来使用，以便访问机器的有线以太网接口：它将全面控制系统的功能暴露在网络面前，让IT人员及其他系统管理员可以远程重启、修复及调整服务器和工作站。它能提供虚拟串行控制台；如果安装了合适的驱动程序，还能提供远程桌面访问功能。如果这项服务暴露在公开互联网面前，那你就危险了。在授予访问权限之前，理应需要管理员使用密码来验证身份，但是上述安全漏洞意味着，有人在身份未经验证的情况下，就可以随意进入到硬件的控制面板。即使你使用了防火墙，防止外界访问系统的AMT，但是一旦有人或恶意软件进入到你的网络（比如说前台的PC），就有可能钻这个最新安全漏洞的空子，潜入到AMT管理的工作站或服务器的内部深处，对贵公司造成进一步的危害。

AMT是一种在英特尔的管理引擎（ME）上运行的软件，十多年来（自酷睿2在2006年面市以来），这种技术就以某种方式嵌入到芯片组中。它在操作系统内核下面的所谓ring -2的部件这个层面运行，在系统上任何虚拟机管理程序的下面。它基本上就是你计算机中的第二个计算机，可以全面访问网络、外设、内存、存储资源和处理器。有意思的是，该引擎由ARC CPU核心来驱动，而这种核心是16位或32位混合架构，称得上是用于《星际火狐》等超级任天堂游戏的Super FX芯片的“近亲”。没错，为《星际火狐》和《Stunt Race FX》处理3D运算的这款定制芯片是悄然控制英特尔x86芯片的ARC微处理器的前身。

英特尔的ME方面的细节在过去几年已逐渐公开：比如说，伊戈尔·斯科钦斯基（Igor Skochinsky）在2014年对它作了一番深入的介绍（ https://www.slideshare.net/codeblue_jp/igor-skochinsky-enpub ）。ARC核心运行来自SPI闪存的ThreadX RTOS。它可以直接访问以太网控制器。这年头，它内置到了平台控制器中心（Platform Controller Hub），英特尔的这种微芯片含有众多硬件控制器，连接到主板上的主处理器。

主板上的主处理器

ME是个黑盒子，英特尔不想透露太多的信息，不过该芯片厂商的官方网站上有部分的文档介绍。它让关注隐私和安全的人为之抓狂：没人完全知道它其实做什么；没人知道能否真正禁用它，因为它挨近计算机中的裸机部件运行。

在一些英特尔芯片系列上，你可以有所选择地擦除主板闪存的某些部分，彻底终结ME。

这些年来，工程师和信息安全人员一直在警告：由于所有代码都有缺陷，英特尔的AMT软件中肯定存在至少一处可被人远程钻空子的编程缺陷，而ME运行AMT，因而肯定有一种方法可以完全不用它：购买根本就没有AMT的芯片组，而不是仅仅由硬件保险丝来禁用或断开。

找到这样的漏洞就好比在微软Windows或Red Hat Enterprise Linux中，找到一个硬连线、无法移动、可远程访问的管理员帐户，该帐户使用用户名和密码“hackme”。只不过这个英特尔漏洞是在芯片组中，普通用户接触不到，现在我们等计算机厂商提供补丁。

Linux内核专家马修·加勒特（Matthew Garrett）认为这是一个很严重的问题。他在这里（ http://mjg59.dreamwidth.org/48429.html ）发布了关于该安全漏洞的一些更详细的技术信息。

“修复这个漏洞需要更新系统固件，以便提供新的ME固件，包括一套经过更新的AMT代码。许多受影响的机器不再收到来自相应厂商的固件更新，可能根本得不到补丁。”

“在其中这样一种设备上启用AMT的人都岌岌可危。这忽视了固件更新版很少被标为安全方面很关键（它们通常并不通过Windows更新来获得）这个事实，所以就算有了更新版，用户也可能通常不了解或不安装它们。”