Intel ME的漏洞

2018-06-05 11:17专题 标签:漏洞 Intel ME

前文中我们已经提到,本次针对Intel ME安全性的大规模质疑和报道,主要是因为近期Intel承认了这一漏洞,并且开始尝试补救。然而从之前的新闻报道中我们会发现,与其相关的漏洞其实早已被发现,一些业界人士甚至表示,至少在5年前就开始向intel反应这一漏洞,但Intel却一直不予重视。

由于Intel ME本身是严格保密且几乎不可能被破解的,因此其漏洞更多地来自基于Intel ME的应用,从目前透露的情况看,事实也确实如此。不过需要注意的是,我们前面已经提到,Intel ME自身的权限非常高,因此在这一平台上运行的应用也大都可以使用很高的权限,例如前面提到的AMT就可以在操作系统无法感知和控制的底层运行,而Intel PTT则是硬件级的安全验证工具。由于漏洞是基于平台上的应用,因此可能存在于Intel ME平台上的可用漏洞是比较多的,虽然目前还没有大规模爆发的相关问题,但很多相关部门或人员已经发现了非常危险的问题。

● Intel ME的典型漏洞案例及补救

2016年初的联想(Lenovo)安全公告——LEN-3556中提到,德国联邦信息安全局(BSI)发现一些采用AMT的系统可能存在安全问题。为使用 AMT,系统必须通过一个名为“配置”的流程,此流程用于将计算机连接至用于管理流程的远程计算机。执行配置的一种方式是插入经特殊格式化的USB驱动器,此驱动器包含关于如何连接远程管理计算机的信息。此USB 驱动器必须包含本地系统的MEBx(Management Engine BIOS Extension)密码才能对系统进行配置。MEBx密码是Intel预配置的一个众所周知的默认值,之后由用户或管理员在配置流程期间进行更改或通过Intel Management Setup界面手动更改。

但在某些系统上,即使AMT被认为在BIOS中已禁用,USB配置仍可能会被利用。如果攻击者获得对系统的物理访问权限,他们可能会插入经特殊格式化的USB驱动器,从而将系统与其管理系统连接并控制有漏洞的系统。虽然攻击者必须知道系统的MEBx密码,但由于很多管理员会使用默认密码,因此这一漏洞仍然是非常危险的。

针对这一漏洞Lenovo发布了更新版BIOS,允许客户在BIOS中手动禁用USB配置。同时Intel建议客户对计算机系统的物理访问权限和密码进行管理。其中针对Intel AMT的默认密码,从而防止被不法分子进行USB配置,其步骤如下。

1.将Intel AMT计算机系统远程配置成管理员控制模式。

2.使用USB驱动器在本地更改MEBx密码。

3.通过引导至Intel Management Engine设置,在本地更改MEBx密码。

在本地更改默认MEBx密码的步骤如下(根据 BIOS 语言,步骤可能略有不同)。

1.在系统启动时按下“Ctrl+P”进入Intel Management Engine设置(图5)。用户没有看到访问Intel Management Engine的“按下Ctrl+P”提示或按下后没有反应,则可在系统启动时进入 BIOS设置,在“高级”界面中将“访问MEBx”的相关设置设置为“启用”状态,之后重启即可通过Ctrl+P组合键进入Intel Management Engine设置

05

2.选择“登录MEBx”,系统将出现输入密码的提示,如果之前未配置密码,则默认密码为“admin”。

3.登录后系统将出现设置新密码的提示。此新密码需要包含至少1个大写字母、1个小写字母、1个数字和1个特殊字符,并且长度至少应为8个字符。

4.配置好新密码后,如果用户不希望更改任何其他 AMT 设置,则可以选择“退出 MEBx”。

虽然我们此处提供的例子有些极端,威胁主要来自物理外设,而目前更多的威胁是基于网络的远程攻击,不过我们这里介绍的方法还是具有一定普适性的,例如更新BIOS、改变默认密码等看来简单的操作,就可以大大增强Intel ME服务的安全性。

 

 

上一篇:何为Intel ME