描述:
Intel發布了一個安全公告,以應對於 Intel manageability 產品中的主動管理技術(AMT)、小型企業技術(SBT)和標準管理(ISM)發現的權限提升漏洞。攻擊者可以利用該漏洞取得系統權限來控制這些產品提供的管理功能。本機攻擊者可以透過AMT、SBT和ISM進行攻擊,而遠端攻擊者則可以透過AMT和ISM進行攻擊。
受影響的系統:
使用Intel中央處理器的系統並運行Intel manageability產品AMT、SBT和ISM韌體版本6.x、7.x、8.x、9.x、10.x、11.0、11.5及11.6。
影響:
本機或遠端攻擊者可以獲得系統權限來控制Intel manageability 產品上的管理功能。
檢查受影響系統:
- 識辨中央處理器的型號,例如“i5-6200”(可於Windows系統中右鍵點擊“電腦”圖標並選擇“內容”查看,或從你的庫存記錄、BIOS設置等了解使用中的中央處理器型號)
- 於以下網址中的搜索欄輸入中央處理器型號以尋找其規格
http://ark.intel.com/Search/Advanced
- 在“Advanced Technologies”的部分,“Intel® vPro™ Technology”欄標示該中央處理器是否支援vPro功能。如果顯示“No”,該中央處理器不受影響,無需採取進一步行動。如果顯示“Yes”,該中央處理器或受影響,並需執行步驟4以判斷該管理產品的韌體版本是否受到影響。
- 從以下網址下載INTEL-SA-00075檢查工具:
https://downloadcenter.intel.com/download/26755
- 從下載的壓縮檔中提取“Intel-SA-00075-console.exe”,並以管理員權限執行以下指令:
Intel-SA-00075-console.exe –n
系統管理員可以使用上述指令作依據,再利用管理主控台作大規模的漏洞檢查。
- 程式會輸出電腦的系統信息,包括以下“Risk Assessment”的部分:
*** Risk Assessment ***
Based on the version of the ME, the System is <Vulnerable / Not Vulnerable / Not Vulnerable (verify configuration)>.
如果結果顯示為“Not Vulnerable”,無需採取進一步行動。 否則,請按照以下建議更新受影響的系統。
有關以上檢查工具的詳細資料,請參閱以下網址提供的“INTEL-SA-00075偵測指南”:
https://downloadcenter.intel.com/download/26755
建議:
- 向系統原始設備製造商(OEM)查詢韌體更新並升級韌體至不受影響的版本。
- 遵從“INTEL-SA-00075緩和指南”提供的緩和措施,有關指南可以瀏覽以下網址:
https://downloadcenter.intel.com/download/26754
總括而言,緩和指南主要列出兩個步驟:
- 取消客戶端的管理配置,以防止遠端攻擊者取得系統權限。執行以下指令來使用Intel Setup and Configuration程式:
ACUConfig.exe UnConfigure(只適用於客戶端控制模式(CCM))
- 停用或移除Local Manageability Service(LMS)以防止本機攻擊者取得系統權限。執行以下Windows sc(Service Controller)指令:
sc config LMS start= disabled
sc delete LMS
請留意AMT、ISM和SBT提供的有關管理功能於採取緩和措施後將會無法使用。
進一步資訊:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr
https://www.hkcert.org/my_url/zh/alert/17050501
https://www.us-cert.gov/ncas/current-activity/2017/05/01/Intel-Firmware-Vulnerability
https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5689