Oppdag og avbøt Intel AMT-sårbarhet

TIL nylig avslørt sårbarhet i Intel-produkter som bruker Intel Active Management Technology, Intel Small Business Technology og Intel Standard Manageability gir angripere fjern tilgang til håndteringsfunksjonene som støttes av disse produktene.

Først den gode nyheten: sårbarheten påvirker ikke (de fleste) forbruker-PC-er med Intel-firmware.

Disse teknologiene er laget av Intel for fjernstyring av datasystemer. Funksjonalitet kan omfatte overvåking, oppgradering, reparasjon og vedlikehold av kompatible enheter.

Selv om du kanskje bruker Intels egen rådgivning for å finne ut om et datasystem er sårbart, er det lettere å bruke deteksjonsverktøyet selskapet opprettet og publiserte for det i stedet.

Du kan nedlasting verktøyet fra Intels nettsted, og det kan hende at det kjøres på alle Windows-versjoner som starter med Windows 7. Programmet er bærbart, og det vil fortelle deg med en gang om systemet ditt er sårbart eller ikke.

intel vulnerability

Merk : Intel har publisert en guide for manuelt å finne ut om et system er sårbart eller ikke.

Hvis datamaskinen ikke er sårbar, er du ferdig, da det ikke er noe annet å gjøre. Hvis systemet imidlertid er sårbart, har du ett eller to alternativer, avhengig av om produsenten av enheten allerede har publisert en oppdatert firmware.

  1. Det første alternativet er å sjekke om oppdatert firmware er utgitt. Hvis det er tilfelle, oppdater firmware for å koble sikkerhetsproblemet. Du finner listen over firmwareoppdateringer på Intels rådgivende side.
  2. Hvis ingen firmware er tilgjengelig, kan du bruke tredjepartsverktøyet Deaktiver Intel AMT , eller et av Intels foreslåtte alternativer beskrevet i formildingsveiledning .

Disable Intel AMT er en grunnleggende batchfil for Windows som gir nytt navn til LMS.exe (Intel Local Management Service) binær, slik at den ikke kjøres lenger.

Intels egen løsning krever flere trinn å fullføre. Først unprovisioning av ethvert tilbudt system, deretter deaktivering eller sletting av LMS-tjenesten, og eventuelt konfigurering av lokale begrensninger for administrasjonskonfigurasjon.

Avkonfigurere et system i CCM: ACUConfig.exe UnConfigure
Avkonfigurere et system i ACM uten RCS-integrasjon: ACUConfig.exe UnConfigure / AdminPassword / Full
Avkonfigurere et system med RCS-integrasjon: ACUConfig.exe UnConfigure / RCSaddress / Full

Intel publiserte en unprovisioning verktøy hvilke administratorer som kan bruke hvis kommandoene ovenfor ikke kan utføres.

Systemadministratorer kan også deaktivere eller fjerne LMS på følgende måte:

  1. Trykk på Windows-tasten, skriv cmd.exe, hold nede Skift-tasten og Ctrl-tasten og trykk Enter-tasten. Dette åpner en forhøyet ledetekst.
  2. Slik deaktiverer du LMS: sc config LMS start = deaktivert
  3. Slik sletter du LMS: sc slette LMS

Sårbarheten

Hvis AMT er aktivert, kan brukere logge på lokalt eller eksternt. Intel bruker HTTP Digest-godkjenning for det, og alt som en bruker legger inn beregnes til en hasj og deretter autentiseres av grensesnittet.

De forskere oppdaget at bekreftelsesprosessen som Intel implementerte er feil, ettersom den godtar delvis hasj eller til og med en tom streng. Alt en angriper krever er derfor kunnskap om en fungerende brukerkonto for å logge på uten å vite riktig passord. (via Født )