Intel CPU再爆新漏洞：数百万企业级笔记本遭殃

被曝出严重的Meltdown和Spectre漏洞之后，近日英特尔处理器又被发现存在新的漏洞，该漏洞存在于主动管理技术（Active Management Technology，AMT）中，可让***完全控制用户的笔记本电脑。

英特尔技术中的误导性行为使得本地***者可以危害并控制工作笔记本电脑。

想象一下，如果有人有能力远程访问和操作你的笔记本电脑，而你却没有能力去做任何事情。相当吓人的想法，对吗》幸运的是，这是不可能发生的，只有在电影中才会有一些能够绕过强密码、防火墙和反恶意软件的***技巧。

只是有时候，电影会变成现实。在2017年7月，F-Secure的高级安全顾问之一Harry Sintonen发现了在英特尔的主动管理技术(AMT)内部的不安全和误导的默认行为。AMT是英特尔的专有解决方案，用于远程访问监视和维护公司级个人电脑，这是为了让IT部门或托管服务提供商更好地控制他们的设备机群。

AMT对安全漏洞并不陌生，许多其他研究人员在系统中发现了多个缺陷，但Sintonen的发现让他感到惊讶。安全问题似乎是直接从IT安全官员最糟糕的噩梦中直接出来的。

这种***看似简单，但却具有不可思议的破坏性。在实际操作中，即使是最广泛的安全措施，它也能让本地***者完全控制个人的工作笔记本电脑。

那么如何在实际加以利用呢?

这个问题允许本地***者在几秒钟内就可以将几乎所有电脑公司的笔记本电脑都攻破，即使BIOS的密码、TPM Pin、Bitlocker和登录凭证都已经设置就位。对，我们不是在瞎编。

设置很简单：***者从重新启动目标的机器开始，然后他们进入启动菜单。在正常情况下，***者会在这里停止；因为他们不知道BIOS的密码，所以他们不能做任何对电脑有害的事情。

然而，在这种情况下，***者有一个变通方法：AMT。通过选择Intel的管理引擎BIOS扩展(MEBx)，他们可以使用默认密码“admin”登录，因为用户一般不会更改的这个密码。通过更改默认密码，启用远程访问，并将AMT的用户选择设置为“None”，一个快速的网络犯罪分子已经有效地损害了这台机器。现在，***者可以远程访问系统，只要他们能够将自己接入到受害者的同一个网络段(启用无线访问需要一些额外的步骤)。

尽管安全问题的成功破解需要物理上的接近，但对于熟练的***者来说，这可能并不像你想象的那样困难。Sintonen给出了一个可能的场景，使用了网络罪犯和白帽子团队的共同技术。

***者已经确定并找到了他们希望利用的目标。他们在公共场所(机场、咖啡厅或酒店大堂)接近目标，并采取“邪恶女仆”的方案。从本质上讲，一个***者分散了注意力，而另一个***者则短暂地获得了他或她的笔记本电脑的访问权限。这次***并不需要很多时间，整个过程需要一分钟就能完成，”Sintonen说。

视频：A Security Issue in Intel’s Active Management Technology (AMT)

https://v.qq.com/x/page/n1331vxr2lh.html

应对这个问题

尽管可靠的操作安全是第一步(不要把你的笔记本电脑放在不安全的位置上！)，但是有一些基本的保障措施是IT部门应该执行的。系统准备过程需要更新，包括为AMT设置一个强大的密码，或者如果可能的话，完全禁用它。还应该遍历所有部署的机器，并组织相同的过程。英特尔自己提出的以安全方式使用AMT的建议遵循类似的逻辑。

现在，这可能比听起来更困难。IT部门可能会发现，要在很大程度上解决这个问题变得越来越棘手，因为所需的更改可能难以远程执行(具有讽刺意味的是)。在大多数情况下，对受影响的设备进行大规模的重新配置是解决AMT问题的唯一方法，对于一个大型的全球性组织来说，这并不有趣。我们的建议是远程查询受影响资产的数量，并设法将列表缩小到一个更易于管理的数字。具有Microsoft环境和域连接设备的组织也可以利用系统中心配置管理器来管理AMT。

最重要的是：如果AMT密码在用户的笔记本上被设置为未知值，那么考虑设备可疑并启动事件响应。网络安全第一规则，不比冒不必要的风险。

标签：爆新,Intel,英特尔,企业级,密码,笔记本电脑,Sintonen,AMT,远程
来源： https://blog.51cto.com/u_15127621/2765313