点击这里给我发消息   点击这里给我发消息
全国免费热线:029-86478250
当前位置: 首页 > 博客中心 > 行业新闻 >
即使Intel AMT已禁用,USB 配置也可能会被利用
即使Intel AMT已禁用,USB 配置也可能会被利用

 Lenovo 安全公告:LEN-3556

 

潜在影响:系统遭受不想要的本地 AMT 配置

 

重要性:

 

摘要:如果某些系统的 Intel AMT 技术安装在多个供应商的多台 PC 上,那么这些系统可能可由拥有对系统的物理访问权限(通过特殊格式的 USB 驱动器实现)的某些人进行配置,即使 AMT 被认为在 BIOS 中已禁用也是如此。

 

德国联邦信息安全局(BSI)发现,一些采用 Intel Active Management Technology(AMT)的系统可能存在安全问题。AMT 是一项专为企业发现、修复和保护联网计算资产而设计的 Intel 技术。只要系统连接电源和网络,AMT 就会在操作系统下运行并提供带外系统访问权限,无论操作系统状态或电源状态如何。AMT 技术使用位于 Intel 芯片组内的 Intel Manageability Engine(ME)。

 

为使用 AMT,系统必须通过一个名为“配置”的流程。此流程用于将计算机连接至用于管理流程的远程计算机。要执行配置,一种方式是插入经特殊格式化的 USB 驱动器,此驱动器包含关于如何连接远程管理计算机的信息。此 USB 驱动器必须包含本地系统的 MEBx 密码才能对系统进行配置。MEBx 密码由 Intel 预配置为一个众所周知的默认值,之后由用户或管理员在配置流程期间进行更改或通过 Intel Management Setup 界面手动更改。

 

在某些系统上,即使 AMT 被认为在 BIOS 中已禁用,USB 配置仍可能会被利用。如果攻击者获得对系统的物理访问权限,他们可能会插入经特殊格式化的 USB 驱动器,从而将系统与其管理系统连接并控制有漏洞的系统。为此,他们必须知道系统的 MEBx 密码。

 

发现此漏洞后,Intel 将面向准备实施 AMT 的供应商发布更新的建议。


解决方案:

 

应采取哪些措施进行自我保护:

 

将针对受影响的系统发布更新版 BIOS,允许客户在 BIOS 中手动禁用 USB 配置。在此期间,Intel 建议客户遵循 IT 最佳实践以对计算机系统的物理访问权限和密码进行管理。用户应采取以下某种方法来更改众所周知的 Intel AMT 默认密码,从而防止不想要的 USB 配置:


- 将 Intel AMT 计算机系统远程配置成管理员控制模式。

 

- 使用 USB 驱动器在本地更改 MEBX 密码。

 

- 通过引导至 Intel Management Engine 设置,在本地更改 MEBX 密码

 

在本地更改默认 MEBX 密码的步骤(根据 BIOS 语言,步骤可能略有不同):

 

1、在系统启动时按下“Ctrl+P”以访问 Intel Management Engine 设置

 

2、选择“登录 MEBx”,系统将出现输入密码的提示。如果之前未配置密码,则默认密码为“admin”。

 

3、之后,系统将出现设置新密码的提示。此新密码需要包含至少 1 个大写字母、1 个小写字母、1 个数字和 1 个特殊字符,并且长度至少应为 8 个字符。

 

配置好新密码后,如果用户不希望更改任何其他 AMT 设置,则可以选择“退出 MEBx”。


如果用户没有看到用于访问 Intel Management Engine 的“按下 Ctrl+P”选项,则可在系统启动时按下 F1 以进入 BIOS 设置。导航至“高级”,确保将“按下以进入 MEBx”设置为 [已启用]。