Ma croisade pour patcher l’Intel ME

1/52/53/54/55/5 (1 votes, moyenne: 5,00 sur 5)
Loading...
M

Bonjour à tous,

Pas d’article depuis un moment même si j’ai pas mal de choses en backoffice, mais ce matin je me suis attaqué au patch de la vulnérabilité sur l’Intel ME (Intel management engine), a savoir INTEL-SA-00086.

 

Cet article n’a pas vocation à servir de procédure copier/coller mais d’aide pour patcher cette vulnérabilité. Vous verrez que j’ai utilisé des moyens pas du tout conventionnels pour patcher mon fixe. 🙂

 

Petite note pour les utilisateurs de Linux :

Même si l’outil de détection de la faille Intel marche sous Linux, les constructeurs proposent les patchs de l’Intel ME en majorité sous Windows, je vous recommanderais donc de faire un live cd Windows pour cette fois-ci.

 

Détection de la vulnérabilité :

Téléchargez l’outil de détection des failles sur le site de Intel : https://downloadmirror.intel.com/27150/eng/SA00086_Windows.zip

Extrayez l’archive et allez dans le dossier DiscoveryTool.GUI pour lancer l’exécutable suivant : Intel-SA-00086-GUI.exe

 

Si votre système est vulnérable, vous aurez un message comme ceci :

 

 

Correction de la vulnérabilité avec les mises à jour OEM :

Si vous êtes vulnérables, deux choses à faire :

  1. Mettez à jour votre BIOS avec la dernière version disponible
  2. Téléchargez la dernière version du micrologiciel (firmware) de l’Intel ME

 

Tout se télécharge directement chez le site du fabricant de votre PC ou de votre carte mère en cas de PC monté sur mesure.

Une fois les mises à jour faites, redémarrez et problème réglé.

 

Sauf que … après avoir appliqué les mises à jour de ma carte mère Gigabyte, le souci était toujours présent. Les drivers Windows de l’IME ont étés mis à jour pas l’IME lui-même.

 

 

Correction de la vulnérabilité sans les mises à jour OEM :

Je vous recommande ne pas suivre ce chemin et d’attendre une mise à jour de votre constructeur, ici on va marcher au karma pur et je ne serais pas responsable si votre matos explose

 

Bon, la mise à jour constructeur n’est pas complète, mais j’avais envie de me débarrasser de la vulnérabilité ce matin.

Et la PAF, éclair de génie, les nouvelles tours HP que l’on vend au boulot (HP Prodesk 400 G4) on presque le même processeur que moi, à savoir un I7 7700 avec un chipset H270 au lieu de Z270.

 

C’est à ce moment que mon esprit torturé a eu l’idée de flasher un firmware essentiel au système avec une image qui n’est prévue ni pour ce constructeur, ni ce processeur, ni cette carte mère, ni ce chipset. L’équation à 10000 inconnues, mais je sentais que Intel utilisait le même firmware sur l’Intel Management Engine pour tout le monde.

 

On télécharge donc le sp82474 et on extrait le bordel.

On lance une invite de commande en administrateur et on lance les commandes suivantes pour lancer le flash :

cd C:\Users\%username%\Downloads\sp82474\FW64
FWUpdLcl64.exe -f ../ME/ME_11.8_Consumer_D0_H_Production.bin -allowsv -y

 

 

Et la, a priori ça passe :

 

 

On redémarre en croisant les doigts pour que la carte mère ne fasse pas des bonds au démarrage et la :

 

La plateforme a bien pris le firmware qui ne lui était pas destiné et tout ça a résolu le souci (jusqu’a la prochaine faille).

 

Donc si votre constructeur ne propose pas de mise à jour pour votre matériel et que vous êtes suicidaire, vous pouvez trouver du matériel OEM mis à jour semblable au vôtre et tenter un flash 🙂

 

A propos de l'auteur

Nicolas Simond
Nicolas Simond

Administrateur Systèmes et Réseaux et guitariste hard rock et metal à mes heures perdues.
Je suis le créateur et l'unique rédacteur d'Abyss Project, c'est ici que je note la plupart de mes procédures et quelques divagations.

Si vous l'article vous a aidé, pensez à me payer un café :)

guest

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

4 Commentaires
Plus récents
Plus anciens Populaires
Inline Feedbacks
View all comments
Anderson
Anderson
2 années plus tôt

Bien jouer ! Intelligent comme réflexion et un peu risqué mais parfois il faut prendre quelques risques pour partager des nouvelles découvertes;

Julien
2 années plus tôt

Asus a sorti de nombreuses mises à jour récemment pour ce problème, foncez !!

Sébastien.R
Sébastien.R
Reply to  Julien
2 années plus tôt

Pareil chez MSI, mais comme Nicolas, mon ordinateur est toujours vulnérable. Mais j’ai pas envie de prendre le risque de tout cassé. Alors j’attends que INTEL bouge sont cul…