點擊這里給我發消息?? 點擊這里給我發消息
全國免費熱線:029-86478250
當前位置: 首頁 > 博客中心 > 行業新聞 >
即使Intel AMT已禁用,USB 配置也可能會被利用
即使Intel AMT已禁用,USB 配置也可能會被利用

 Lenovo 安全公告:LEN-3556

 

潛在影響:系統遭受不想要的本地 AMT 配置

 

重要性:

 

摘要:如果某些系統的 Intel AMT 技術安裝在多個供應商的多臺 PC 上,那么這些系統可能可由擁有對系統的物理訪問權限(通過特殊格式的 USB 驅動器實現)的某些人進行配置,即使 AMT 被認為在 BIOS 中已禁用也是如此。

 

德國聯邦信息安全局(BSI)發現,一些采用 Intel Active Management Technology(AMT)的系統可能存在安全問題。AMT 是一項專為企業發現、修復和保護聯網計算資產而設計的 Intel 技術。只要系統連接電源和網絡,AMT 就會在操作系統下運行并提供帶外系統訪問權限,無論操作系統狀態或電源狀態如何。AMT 技術使用位于 Intel 芯片組內的 Intel Manageability Engine(ME)。

 

為使用 AMT,系統必須通過一個名為“配置”的流程。此流程用于將計算機連接至用于管理流程的遠程計算機。要執行配置,一種方式是插入經特殊格式化的 USB 驅動器,此驅動器包含關于如何連接遠程管理計算機的信息。此 USB 驅動器必須包含本地系統的 MEBx 密碼才能對系統進行配置。MEBx 密碼由 Intel 預配置為一個眾所周知的默認值,之后由用戶或管理員在配置流程期間進行更改或通過 Intel Management Setup 界面手動更改。

 

在某些系統上,即使 AMT 被認為在 BIOS 中已禁用,USB 配置仍可能會被利用。如果攻擊者獲得對系統的物理訪問權限,他們可能會插入經特殊格式化的 USB 驅動器,從而將系統與其管理系統連接并控制有漏洞的系統。為此,他們必須知道系統的 MEBx 密碼。

 

發現此漏洞后,Intel 將面向準備實施 AMT 的供應商發布更新的建議。


解決方案:

 

應采取哪些措施進行自我保護:

 

將針對受影響的系統發布更新版 BIOS,允許客戶在 BIOS 中手動禁用 USB 配置。在此期間,Intel 建議客戶遵循 IT 最佳實踐以對計算機系統的物理訪問權限和密碼進行管理。用戶應采取以下某種方法來更改眾所周知的 Intel AMT 默認密碼,從而防止不想要的 USB 配置:


- 將 Intel AMT 計算機系統遠程配置成管理員控制模式。

 

- 使用 USB 驅動器在本地更改 MEBX 密碼。

 

- 通過引導至 Intel Management Engine 設置,在本地更改 MEBX 密碼

 

在本地更改默認 MEBX 密碼的步驟(根據 BIOS 語言,步驟可能略有不同):

 

1、在系統啟動時按下“Ctrl+P”以訪問 Intel Management Engine 設置

 

2、選擇“登錄 MEBx”,系統將出現輸入密碼的提示。如果之前未配置密碼,則默認密碼為“admin”。

 

3、之后,系統將出現設置新密碼的提示。此新密碼需要包含至少 1 個大寫字母、1 個小寫字母、1 個數字和 1 個特殊字符,并且長度至少應為 8 個字符。

 

配置好新密碼后,如果用戶不希望更改任何其他 AMT 設置,則可以選擇“退出 MEBx”。


如果用戶沒有看到用于訪問 Intel Management Engine 的“按下 Ctrl+P”選項,則可在系統啟動時按下 F1 以進入 BIOS 設置。導航至“高級”,確保將“按下以進入 MEBx”設置為 [已啟用]。

 

海盗财富救援彩金 棋牌现金可提现 重庆幸运农场开奖图 炒股票软件 3d走势图带连线专业版 pk10牛牛十个数字怎么看 山西十一选五开奖查询结果 金博棋牌官网下载 九乐棋牌大厅 百度推荐视频可以赚钱 双色杀红球好的专家 青海11选5走势图和策略 网上兼职赚钱是否可靠 彩票开奖 江苏11选5定位走势 5元以下股票推荐 qq分分彩开奖依据