인텔 SA-00086 취약점 관련 ME 펌웨어 업데이트 방법

최근 인텔 매니지먼트 엔진(버전 11.0.0~11.7.0), 인텔 TXE 3.0, 인텔 서버 플랫폼 서비스(SPS) 4.0에 취약점(Intel-SA-00086)이 있음이 확인되었습니다.

 

인텔 매니지먼트 엔진 펌웨어는 메인보드 BIOS의 ME 영역에 기록되어 있으며 현대 인텔 플랫폼의 구동에 핵심적인 역할을 합니다. 인텔이 심도 있게 확인한 결과 이 보안상 취약점이 잠재적으로 특정 PC나 서버, IoT 플랫폼에 영향을 줄 수 있다고 판단했다고 합니다. (바로가기)

 

이 취약점은 인텔 ME 펌웨어 버전 11.0.0부터 11.7.0, 인텔 TXE 버전 3.0, 인텔 서버 플랫폼 서비스(SPS) 4.0을 사용하는 시스템에 영향을 줄 수 있으며, 이에 해당되는 프로세서가 사용된 시스템은 다음과 같습니다. (스카이레이크 및 이후 출시된 제품)

 

- 6th, 7th, and 8th generation Intel® Core™ Processor Family
- Intel® Xeon® Processor E3-1200 v5 and v6 Product Family
- Intel® Xeon® Processor Scalable Family
- Intel® Xeon® Processor W Family
- Intel Atom® C3000 Processor Family
- Apollo Lake Intel Atom® Processor E3900 series
- Apollo Lake Intel® Pentium® Processors
- Intel® Celeron® N and J series Processors

 

취약점이 시스템에 영향을 줄 수 있는지는 인텔이 제공하는 Intel-SA-00086 감지 도구(Detection Tool, 바로가기)를 이용해서 확인할 수 있습니다.

 

다음과 같이 Intel-SA-00086 감지 도구를 다운로드 후 압축을 풀고 커맨드 프롬프트(명령 프롬프트, CMD)에서 실행하면 현재 ME 펌웨어의 버전과 취약점 관련 현황을 볼 수 있습니다.

 

 

저는 사실 최신 드라이버 덕후(?)이기 때문에 펌웨어를 이전에 업데이트해두었고, 위와 같이 시스템에 취약점이 해결되었다는 메시지를 볼 수 있었습니다.

 

혹은 윈도우즈 GUI 버전을 이용해서도 확인이 가능합니다.

 

▼ Intel-SA-00086 감지 도구 (GUI 버전) 다운로드

Intel_SA00086_Windows_DiscoveryTool_GUI.zip

 

 

인텔 SA-00086 취약점을 해결하기 위해서는 매니지먼트 엔진(ME) 펌웨어를 버전 11.8.50.3425 이상의 버전으로 업데이트하는 것이 좋습니다. 마찬가지로 ME 외에 SPS 및 TXE가 사용되는 시스템은 각각 4.0.04.139와 3.1.50.2222 PV 이상으로 업데이트하는 것이 권장됩니다.

 

▼ 6/7/8세대 코어 프로세서

 

권장: Intel® ME 11.8.50.3425 혹은 그 이상

최저: Intel® ME 11.8.50.3399

 

6/7/8세대 X 시리즈 코어 프로세서 (HEDT)

 

권장: Intel® ME 11.11.50.1422 or higher

최저: Intel® ME 11.11.50.1402

 

▼ Intel-SA-00086 취약점 해결 ME 펌웨어 다운로드

 

Intel ME Firmware v11.8.50.3425 (CON-H, 1.5M).zip

Intel ME Firmware v11.8.50.3425 (LP Y&U, 5M).zip

Intel ME Firmware v11.11.50.1422 (CON-H).zip

 

- ASRock 다운로드 페이지: https://www.asrock.com/microsite/2017IntelFirmware/

 

위 펌웨어가 호환되지 않는 경우 Station-Drivers(바로가기)에서 적합한 펌웨어를 직접 다운로드해 적용하셔도 됩니다.

 

※ 변경사항: 보안 취약점 CVE-2017-13077 및 CVE-2017-5729 수정

※ 시스템에 맞는 펌웨어를 사용하세요. 보통 1.5M 펌웨어는 주로 개인용, 5M 펌웨어는 주로 기업용 제품에 사용되며 서로 호환되지 않습니다.

※ 초보자, 복구 방법이 준비되지 않은 경우, 완제품 피씨, 노트북 등의 상황/환경에서는 업데이트를 권장하지 않습니다.

※ 일부 Engineering Sample CPU 등을 사용하는 시스템에서는 문제가 있을 수 있으니 업데이트를 권장하지 않습니다.

 

펌웨어의 업데이트 방법은 다음과 같습니다.

 

저는 Z370 메인보드를 사용하고 있기 때문에 1.5M 펌웨어로 예를 들어보겠습니다. (Z170/Z270 메인보드도 동일하게 1.5M 펌웨어를 적용하면 됩니다.)

 

 

펌웨어를 다운로드 후 압축을 풀면 위와 같은 파일을 볼 수 있습니다.

 

 

MEInfo 폴더로 이동 후 커맨드 프롬프트를 엽니다. 그리고 meinfowin64를 입력해 meinfo를 실행합니다.

 

(탐색기에서 Shift 키를 누른 상태로 마우스 우클릭 후 여기서 명령 창 열기를 선택해도 됩니다.)

 

 

시스템의 현재 ME 펌웨어 버전을 볼 수 있습니다.

 

ME 펌웨어 버전이 11.8.50.3425 미만인 경우 펌웨어의 업데이트가 필요합니다.

 

 

펌웨어의 업데이트를 위해서는 FWUpdLcl64와 펌웨어 파일이 있는 폴더에서 관리자 권한으로 커맨드 프롬프트를 열고, FWUpdLcl64 -f 11.8.50.3425_CON_H_D0_PRD_RGN.bin (FWUpdLcl64 -f 펌웨어 파일명)이라고 입력하면 됩니다.

 

그러면 다음과 같이 펌웨어 업데이트 파일이 실행되면서 펌웨어 업데이트를 진행할 수 있습니다.

 

 

펌웨어 업데이트에는 다소 시간이 필요하며 완전히 업데이트되었다는 메시지가 출력될 때까지 기다려야 합니다. 또한 펌웨어가 업데이트된 후에는 시스템을 한 번 다시 시작해야 합니다.

 

ME 펌웨어 업데이트 전에는 BIOS 업데이트 시와 마찬가지로 시스템의 모든 작업을 중단하고 안정적인 상태에서 진행하시기 바랍니다. 불안정한 오버클러킹 환경이나 다른 프로그램 등에 의해 펌웨어가 업데이트 중 중단되거나 하는 경우 시스템이 부팅 불가 상태에 빠질 수 있습니다.

 

펌웨어 업데이트를 완료 후 시스템을 재시작하였다면, 마지막으로 ME 드라이버 역시 최신 버전으로 업데이트해주셔야 합니다. 첨부한 파일은 수동 업데이트를 위한 INF 파일이며, 자동 설치 패키지는 공식 다운로드 페이지(바로가기)에서 다운로드하여 사용하시면 됩니다.

 

Intel Management Engine Interface v11.7.0.1052.zip

 

보다 자세한 정보는 인텔의 보안 공지(바로가기)를 참고하시기 바랍니다.

이 글에 남겨진 댓글은 76개 입니다.

  1. 이전 댓글 더보기
    • 안녕하세요. 쿨엔에서 관련 뉴스글을 보고 인터넷 검색을 하다가 오게 되었습니다. 제가 애즈락의 DeskMini 110이라는 베어본(H110M-STX 보드가 들어있습니다)에 인텔 저전력 CPU인 i7-7700T를 조립하고 윈도우 10 64비트를 설치해서 사용 중인데요. 애즈락 드라이버 다운로드 페이지(http://www.asrock.com/Nettop/Intel/DeskMini%20110%20Series/index.kr.asp#Download2)에서 ME Driver를 찾아보면 11.6.0.1126 버전이 올라와 있고 저도 이걸 설치했는데 아니나다를까 말씀하신 검사 유틸로 확인해 보니 '이 시스템은 취약한 상태입니다'라고 나오네요 ㅜㅜ 위의 글을 천천히 정독해보니 ME 펌웨어를 먼저 업데이트하고 그 다음에 ME 드라이버도 따로 업데이트 해야 한다고 하셨는데요. 저는 올려주신 두 펌웨어 중 어떤 펌웨어를 설치해야 하는 것인가요? 그리고 드라이버는 링크 걸어주신 자동 설치 패키지의 공식 다운로드 페이지를 눌러보니 아무 것도 나오질 않는데 그럼 그냥 여기 올려주신 11.7.0.1052 버전을 설치하면 되는 것일까요? 이 베어본 구입한 이후로 ME 관련 업데이트를 해 본 적이 없어서 좀 어리버리하네요 ^^;;;

    • H110이면 아마도 5M일 것 같은데, 호환되지 않는 버전인 경우 에러가 발생하며 진행되지 않습니다.

    • 전 cmd 창이 강제로 꺼지느데 어떻게 하나요?
      00086 콘솔도 강제로 꺼지는데 이건 로그텍스트 나와서 확인 가능했지만

      두번째 는 아예 키자마자 꺼저버리고 error.log 에
      Error 8716: Invalid usage
      라고 나옵니다 ㅠㅠ

    • 커맨드 프롬프트를 직접 열어서 실행하셔야 합니다. exe 파일만 실행하시면 진행되지 않아요.

    • Cpu: Intel i7- 7700
      메인보드 : ga-b250m ds3h

      사용중입니다. 업데이트 어케 해야될까요? 컴맹이라서 미치겠습니다. ㅠㅠ

    • 본문 내용처럼 진행하시면 됩니다.
      보통 1.5M 버전이나 5M 버전 중 하나로 업데이트가 가능합니다.

    • 스카이레이크-x 및 카비레이크-x 용 ME 펌웨어 바이너리 파일 찾아서 여기에 남겨봅니다.
      버전은 11.11.50.1402로 권장 버전은 아니지만 보안 결함이 수정된 최소 버전입니다.

      http://www.station-drivers.com/index.php?option=com_remository&Itemid=352&func=fileinfo&id=3145&lang=en

    • 정보 감사합니다. ^^

    • 답변 감사드립니다.
      6400t ES로 넘어온지 2개월도 안돼서 그냥 놔둬야 겠네요.

    • 설치된 Intel(R) Capability Licensing Service Client 는 사용되지 않는 버전입니다. 필요한 최소 버전은 1.47.715.0입니다. Intel(R) Capability Licensing Service Client 소프트웨어를 업데이트하십시오 (시스템 제조업체에서 제공).
      이렇게 뜨면 어떻하나요? 기가바이트껀데

    • 펌웨어는 업데이트가 됐어요

    • MEI 드라이버를 최신으로 업데이트하시면 됩니다.

    • 안녕하세요 sa 00086검색도구를 실행시켜보니 시스템이 취약한 상태가 아니라고 나오는데
      버젼은 9.1.2.1010 버젼이더라구요 근데 me버젼이 11.0.0~11.7.0이 취약하다고 글을 쓰셧는데 그럼 저같은경우는 업데이트를 할 필요가 없는건가요??
      cpu는 i7-4790k이고 메인보드는 h97 입니다

    • 네, 6세대 이전 제품들은 해당되지 않는 문제입니다.

    • 아 업데이트 했다가 노트북 벽돌되서 서비스센터 가게 생겼네요. 다들 제조사 공식 펌웨어가 안나왔다면 섣불리 업데이트 하지 마시길 바랍니다.

    • 공통적으로 문제 여지가 있는 부분이라 생각되어 관련 내용을 본문에 추가했습니다. 문제가 잘 해결되길 바랍니다.

    • 자꾸 Error 8771: Invalid File. 이 메세지만 뜨네요..
      mei도 설치해놨고 cmd도 관리자권한으로했는데도 몇번을 해봐도 에러메세지만 뜨네요..

    • 메시지를 보면 파일명을 잘못 입력하신 게 아닌가 싶은데요. 아래 링크에 애즈락이 제공하는 툴과 설명이 있습니다.
      https://www.asrock.com/microsite/2017IntelFirmware/
      이 원클릭 설치 툴을 이용해서 설치해보세요. 포함된 펌웨어는 동일합니다.

    • msi gs63vr 6rf 노트북 사용자입니다.
      업데이트 실행시 자꾸만 Error 8719: Firmware update cannot be initiated because Local Firmware update is disabled 메세지가 뜹니다ㅜㅜ

    • 해당 기기의 me 펌웨어 업데이트가 막혀 있는 경우입니다.
      msi의 새로운 bios를 기다려보시거나 유통사나 msi 쪽에 문의해보세요.

    • INTEL-SA-00086 Detection Tool
      Application Version: 1.0.0.152

      Error: Unable to determine platform type.

      Computer Name: DESKTOP-CBIILSV
      Scan date: 2018-01-01 오전 6:03:12

      *** Host Computer Information ***
      Manufacturer: System manufacturer
      Model: System Product Name
      Processor Name: Genuine Intel(R) CPU 0000 @ 1.60GHz
      OS Version: Microsoft Windows 10 Pro

      *** Intel(R) ME Information ***
      Engine: Intel(R) Management Engine
      Version: Unknown
      SVN: 0

      *** Risk Assessment ***
      Based on the analysis performed by this tool: Detection Error: This system may be vulnerable, either the Intel(R) MEI/TXEI driver is not installed (available from your system manufacturer) or the system manufacturer does not permit access to the ME/TXE from the host driver.

      For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
      Copyright(C) 2017, Intel Corporation, All rights reserved.
      Saving results in: C:\Windows\system32\SA-00086-DESKTOP-CBIILSV-2018-01-01-06-03-12.xml

      Intel-SA-00086 를 실행할 경우 다음과 같이 뜹니다. 무엇이 문제인가요?

      MEI 업데이트도 안됩니다.

    • ME 드라이버를 먼저 설치하시기 바랍니다.
      그리고 ES를 사용하는 시스템의 경우문제가 될 수 있기 때문에 적용을 권장하지는 않습니다.

    • 검사해보니까 취약하다고 뜨는데 펌웨어를 대체 어떤거를 어떻게 실행해야되는지 모르겠어요
      인텔 코어 i5-6200u cpu 2.30Ghz라고 뜨고 lg그램 노트북이에요(15z960)ㅜㅜ 제발 도와주세요ㅜㅜ

    • 노트북이면 문제가 생길 수 있으니 먼저 서비스쪽에 문의해보세요. 새로운 바이오스가 나왔다면 아마 문제가 해결되었을 겁니다. 이 방법은 대부분 이상 없지만 노트북의 경우 만약이라도 문제가 생길 경우 크게 곤란할 수 있으니까요.

    • 프로필사진 제발도와주세요

      2018.01.05 12:17

      완제품 pc인데 요새 말이 많아서 그러는데 설치를 해야할까요
      모델명은 PMHSB09B Samsung DeskTop이구요
      cpu는 intel core i5-6400 2.7GHz이고
      메인보드는 SAMSUNG_DT1234567890인데 어떻게 업데이트를 해야하나요

    • 브랜드 피씨는 제조사에 문의해보시는 것이 좋습니다. 문제가 발생할 가능성이 있거든요. 또한 펌웨어 업데이트가 막혀 있을 수도 있습니다.

    • 또한 일반 피씨 사용자라면 사실 큰 문제는 아니라고 봅니다.

    • 실행 후 컴터 부팅하자마자
      The ME FW of system was found abnormal it is recommand to re-flash system BIOS by M-flash to ensure
      normal system operation 이라고 뜨는데 뭔가요??

    • 업데이트한 ME 펌웨어가 사용 중인 BIOS와 호환되지 않는 것으로 보입니다. 어떤 제품인지는 모르겠지만 메시지의 M-Flash를 이용해서 최신 BIOS로 업데이트해보세요.

*

*