描述:
Intel发布了一个安全公告,以应对于 Intel manageability 产品中的主动管理技术(AMT)、小型企业技术(SBT)和标准管理(ISM)发现的权限提升漏洞。攻击者可以利用该漏洞取得系统权限来控制这些产品提供的管理功能。本地攻击者可以透过AMT、SBT和ISM进行攻击,而远程攻击者则可以透过AMT和ISM进行攻击。
受影响的系统:
使用Intel中央处理器的系统并运行Intel manageability产品AMT、SBT和ISM韧体版本6.x、7.x、8.x、9.x、10.x、11.0、11.5及11.6。
影响:
本机或远程攻击者可以获得系统权限来控制Intel manageability 产品上的管理功能。
检查受影响系统:
- 识辨中央处理器的型号,例如“i5-6200”(可于Windows系统中右键点击“计算机”图标并选择“内容”查看,或从你的库存记录、BIOS设置等了解使用中的中央处理器型号)
- 于以下网址中的搜索栏输入中央处理器型号以寻找其规格
http://ark.intel.com/Search/Advanced
- 在“Advanced Technologies”的部分,“Intel® vPro™ Technology”栏标示该中央处理器是否支持vPro功能。如果显示“No”,该中央处理器不受影响,无需采取进一步行动。如果显示“Yes”,该中央处理器或受影响,并需执行步骤4以判断该管理产品的韧体版本是否受到影响。
- 从以下网址下载INTEL-SA-00075检查工具:
https://downloadcenter.intel.com/download/26755
- 从下载的压缩文件中提取“Intel-SA-00075-console.exe”,并以管理员权限执行以下指令:
Intel-SA-00075-console.exe –n
系统管理员可以使用上述指令作依据,再利用管理控制台作大规模的漏洞检查。
- 程序会输出计算机的系统信息,包括以下“Risk Assessment”的部分:
*** Risk Assessment ***
Based on the version of the ME, the System is <Vulnerable / Not Vulnerable / Not Vulnerable (verify configuration)>.
如果结果显示为“Not Vulnerable”,无需采取进一步行动。 否则,请按照以下建议更新受影响的系统。
有关以上检查工具的详细资料,请参阅以下网址提供的“INTEL-SA-00075侦测指南”:
https://downloadcenter.intel.com/download/26755
建议:
- 向系统原始设备製造商(OEM)查询韧体更新并升级韧体至不受影响的版本。
- 遵从“INTEL-SA-00075缓和指南”提供的缓和措施,有关指南可以浏览以下网址:
https://downloadcenter.intel.com/download/26754
总括而言,缓和指南主要列出两个步骤:
- 取消客户端的管理配置,以防止远端攻击者取得系统权限。执行以下指令来使用Intel Setup and Configuration程式:
ACUConfig.exe UnConfigure(只适用于客户端控制模式(CCM))
- 停用或移除Local Manageability Service(LMS)以防止本机攻击者取得系统权限。执行以下Windows sc(Service Controller)指令:
sc config LMS start= disabled
sc delete LMS
请留意AMT、ISM和SBT提供的有关管理功能于采取缓和措施后将会无法使用。
进一步信息:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr
https://www.hkcert.org/my_url/zh/alert/17050501
https://www.us-cert.gov/ncas/current-activity/2017/05/01/Intel-Firmware-Vulnerability
https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5689