Ma croisade pour patcher l’Intel ME

Bonjour à tous,

Pas d’article depuis un moment même si j’ai pas mal de choses en backoffice, mais ce matin je me suis attaqué au patch de la vulnérabilité sur l’Intel ME (Intel management engine), a savoir INTEL-SA-00086.

Cet article n’a pas vocation à servir de procédure copier/coller mais d’aide pour patcher cette vulnérabilité. Vous verrez que j’ai utilisé des moyens pas du tout conventionnels pour patcher mon fixe. 🙂

Petite note pour les utilisateurs de Linux :

Même si l’outil de détection de la faille Intel marche sous Linux, les constructeurs proposent les patchs de l’Intel ME en majorité sous Windows, je vous recommanderais donc de faire un live cd Windows pour cette fois-ci.

Détection de la vulnérabilité :

Téléchargez l’outil de détection des failles sur le site de Intel : https://downloadmirror.intel.com/27150/eng/SA00086_Windows.zip

Extrayez l’archive et allez dans le dossier DiscoveryTool.GUI pour lancer l’exécutable suivant : Intel-SA-00086-GUI.exe

Si votre système est vulnérable, vous aurez un message comme ceci :

Correction de la vulnérabilité avec les mises à jour OEM :

Si vous êtes vulnérables, deux choses à faire :

1. Mettez à jour votre BIOS avec la dernière version disponible
2. Téléchargez la dernière version du micrologiciel (firmware) de l’Intel ME

Tout se télécharge directement chez le site du fabricant de votre PC ou de votre carte mère en cas de PC monté sur mesure.

Une fois les mises à jour faites, redémarrez et problème réglé.

Sauf que … après avoir appliqué les mises à jour de ma carte mère Gigabyte, le souci était toujours présent. Les drivers Windows de l’IME ont étés mis à jour pas l’IME lui-même.

Correction de la vulnérabilité sans les mises à jour OEM :

Je vous recommande ne pas suivre ce chemin et d’attendre une mise à jour de votre constructeur, ici on va marcher au karma pur et je ne serais pas responsable si votre matos explose

Bon, la mise à jour constructeur n’est pas complète, mais j’avais envie de me débarrasser de la vulnérabilité ce matin.

Et la PAF, éclair de génie, les nouvelles tours HP que l’on vend au boulot (HP Prodesk 400 G4) on presque le même processeur que moi, à savoir un I7 7700 avec un chipset H270 au lieu de Z270.

C’est à ce moment que mon esprit torturé a eu l’idée de flasher un firmware essentiel au système avec une image qui n’est prévue ni pour ce constructeur, ni ce processeur, ni cette carte mère, ni ce chipset. L’équation à 10000 inconnues, mais je sentais que Intel utilisait le même firmware sur l’Intel Management Engine pour tout le monde.

On télécharge donc le sp82474 et on extrait le bordel.

On lance une invite de commande en administrateur et on lance les commandes suivantes pour lancer le flash :

cd C:\Users\%username%\Downloads\sp82474\FW64
FWUpdLcl64.exe -f ../ME/ME_11.8_Consumer_D0_H_Production.bin -allowsv -y

Et la, a priori ça passe :

On redémarre en croisant les doigts pour que la carte mère ne fasse pas des bonds au démarrage et la :

La plateforme a bien pris le firmware qui ne lui était pas destiné et tout ça a résolu le souci (jusqu’a la prochaine faille).

Donc si votre constructeur ne propose pas de mise à jour pour votre matériel et que vous êtes suicidaire, vous pouvez trouver du matériel OEM mis à jour semblable au vôtre et tenter un flash 🙂