전 세계에 엄청난 수의 반독과점으로 메인보드와 소켓, CPU 등의 장난질로 엄청난 수익을 올리던 우리 인텔씨는 불과 얼마전에 Spectre 와 Meltdown 등의 취약점을 통해 비싼돈 주고 취약점을 산 사용자들의 튓통수를 아주 시원하게 후려 갈려 버렸었습니다.

 그런데 어쩔 방법이 없는게 또, 인텔이 ME ( Management Engine ) 이란걸 도입 하면서 시스템 BIOS 에 관련 FW(펌웨어) 를 집어 넣기 시작 합니다. 원래 다 그렇듯 시작은 뜻이야 참 좋아서, 이 ME FW 개념 도입은, 추후 시스템에 지속적인 ME 의 FW 를 지원 해 준다는 뭐 그런것 이겠습니다만 ... 사용자가 지금 자신의 PC 에 BIOS 를 최신으로 갱신 하는지 마는지는 물론, 제조사가 손 놓은 제품은 뭐 어쩌란 건지 모를 방향으로 가게 되는게 현실 (또는 시궁창 이라 해야 하련지) 이라 하겠습니다.

 이번에 테스트로 이 문제점을 해결 해 본 PC 는 일단 ASUS 제품의 메인보드를 사용하나, 제조사가 SA-00086 취약점을 해결 해 줄 마음이 없는 상태의 메인보드 ME FW 를 최신으로 올려 보았습니다.

 먼저 참조한 싸이트는 다음과 같으며, 영문으로 되어 있습니다.

위 싸이트를 참고 하여 필요한 도구를 내려 받아도 되나, 일단 현재 자신의 PC 가 SA-00086 사항에 해당 하는지를 확인 하려면 아래의 Intel ME FW 진단 도구 (Windows 64 GUI) 다운로드 를 아래에서 받아서 확인해도 됩니다.

Intel_SA00086_Windows_DiscoveryTool_GUI.zip

위 파일을 다운로드 받은 다음, 압축을 푸시고, Intel-SA-00086-GUI.exe 를 실행 해서 아래 처럼 나오지 않는다면 지금 당장 ME FW 를 업데이트 해야 합니다.

 아마 이 글을 처음 보시는 분들 이라면 위처럼 패치 되었다는 녹색 표시는 구경도 못 하실 상태가 될 것으로 보입니다. 하지만 대기업 등에서 나오는 완제품이 아니라면 이 저주의 Intel ME FW 를 최신으로 올릴 방법이 있습니다.

일단 자신의 Intel ME verusion 이 어떻게 되는지를 알아야 하는데, BIOS 진입 같은거 뭔지 모르고, 들어 간다 한들 Intel ME FW 가 어디에 어떻게 있는지 모르겠는 분들은 아래의 HWInfo 싸이트에 방문, HWInfo 프로그램을 받아서 확인이 가능 합니다. 저의 경우는 설치본 64bit 를 추천 드립니다.

https://www.hwinfo.com/download.php

 이제 HWINFO64 를 구동해서 아래와 같이 Intel ME 의 Version 을 확인 하면 되는데, 11 로 시작하는데 verison이 11.8 이 아닌 그 이하라면 이 결함을 가진 FW 를 최신으로 올려야 합니다.

최신으로 patch 가 된 버젼의 경우입니다.

최신 버젼의 ME FW 는 아래에서 내려 받을 수 있는데, 종류가 2가지 입니다. 각각 11.8 미만인 제품들이 11.8 로 올릴 수 있는 일반용과 서버용 (용량이 큰 것)인데, 서버의 경우는 되도록 유지보수 업체를 통해서 받는 것이 맞을 듯 합니다.

 여기서 주의 할 점은, Intel ME Version 이 7.x 일 경우는 7.x 의 최신을, 8.x 의 경우는 8.x 의 최신만 사용이 가능하며, 상위의 ME FW 를 설치 할 수 없습니다. 고로 위 HWInfo 로 Intel ME 를 제대로 파악 하고 자신에 맞는 FW 를 찾아야 하는데, 그냥 위 페이지 내에 B1 과 B2 섹션을 참조 하는 것이 좋습니다.

B1. Consumer Systems

 일반 소비자용 시스템을 의미 하며, 보통 일반 사용자용 노트북이나 데스크탑 메인보드 등을 말합니다. 대부분 이 항목에 해당 할 듯 합니다.

B2. Corporate Systems

 사업자들이 쓰는 시스템에 해당하며, 대부분 서버군이나 워크스테이션 등의 제품들이 이걸 쓴다고 보면 됩니다.

 대부분 위의 두 항목에서 찾을 수 있는 최신 FW 는 업데이트 하려는 PC 의 ME Version 앞자리만 찾으면 되며, 1.5MB 와 5MB 차이를 알고 싶으면 HWInfo 의 Intel ME 항목의 제일 아래에 있는 ME Firmware Image Type 에 1.5M 나 5M 표시가 됩니다. 일부 시스템은 Consumer SKU .. 라 표시되기도 하는데 이런 경우 만약 제조사가 있는 노트북이라던가 하면 해당 제조사의 Intel ME Firmware 관련 사항을 직접 찾아야 합니다.

 위에서 필요한 FW 를 찾은 다음, 이젠 FW 를 써 줄 프로그래밍 툴이 필요한데, 이는 C2. Intel (CS)ME System Tools 섹션 에서 자신에 맞는 프로그램을 찾으면 됩니다. Intel ME 가 8.x 면 8.x 로 받으면 되고, 11.x 면 11 버젼에 해당하는 걸 받으면 됩니다.

 이제 위에서 받은 두 압축 파일들을 어딘가에 다 풀어 두어야 합니다. C: 나 D: 에 tmp 폴더 같은걸 만든 다음 그 안에 압축을 푸시는 걸 추천 드립니다. 이제 윈도우키를 누르거나 시작 버튼을 크릭 한 다음 "cmd" 라 입력 하면 나오는 명령프롬프트 를 관리자 권한으로 실행 해 주시기 바랍니다.

 그런 다음 압축을 풀어둔 곳으로 이동 해야 하는데, 이게 어려우신 분들은 이쯤에서 포기 하시는 것을 권장 해 드립니다. 혹시라도 실패 할 경우 이 모든 책임은 본인에게 있는 것 이므로 반드시 이 정도는 이해 하는 단계 에서 진행이 되어야 합니다.

 압축을 푼 위치로 가면, MEInfo 라는 폴더가 더 보이는데, HWInfo64 를 이쯤까지 설치 안하신 분들은 MEInfo 폴더 안에 있는 MEInfoWin64.exe 를 실행 해서 현재 version 을 확인할 수 있습니다.

 이제 ME FW 를 최신으로 올리기 위해서는 다음 문구 처럼 입력 해 주시면 됩니다.

FWUpdLcl64.exe -f 11.8.50.3425_CON_H_D0_PRD_RGN.bin

 이후 딱히 문제가 없다면 FW 쓰기 작업이 진행 될 것이고, 이때 명령 프롬프트 창을 닫거나, 다른 작업을 절대 하지 않도록 합니다. 이 과정이 잘 진행 되었다면 완전히 PC 를 꺼 주시기 바랍니다. 되도록 Windows 10 의 절전 모드 같은걸 이용하지 않고 전원을 완전히 분리 해서 CPU 에 전원이 떨어지게 해 주어야 합니다.

 아마 재부팅을 하고 나면 Intel ME 드라이버를 새로 찾거나 하게 되는데, 장치관리자를 확인 하셔서 드라이버 오류가 있다고 표시 되면 업데이트를 새로 해 주시면 됩니다. 혹시 Intel ME11.x 에서 드라이버를 찾지 못한다면 아래 zip 파일을 풀어서 드라이버를 잡아 주셔도 됩니다.

Intel Management Engine Interface v11.7.0.1052.zip

 압축을 푼 다음 자신의 OS version 에 맞는 위치로 이동 해 보시면 heci.inf 파일이 보입니다. 여기에 마우스 오른쪽 클릭을 하여 설치를 선택해서 작업을 종료 한 다음 재부팅 한번 해 주시면 됩니다.

이렇게 해 주게 되면 최소한 공격자가 해당 기능의 취약점을 노려 공격을 하여 시스템 BIOS 나 FW 등을 변경 할 수 있는 권한을 취득하는 등의 문제점은 방어 할 수 있게 됩니다.

Posted by 견족자K rageworx