技术知识库
即使Intel AMT已禁用,USB 配置也可能会被利用
文章编号:146606 2016/2/2 16:15:43Lenovo 安全公告:LEN-3556
潜在影响:系统遭受不想要的本地 AMT 配置
重要性:中
摘要:如果某些系统的 Intel AMT 技术安装在多个供应商的多台 PC 上,那么这些系统可能可由拥有对系统的物理访问权限(通过特殊格式的 USB 驱动器实现)的某些人进行配置,即使 AMT 被认为在 BIOS 中已禁用也是如此。
德国联邦信息安全局(BSI)发现,一些采用 Intel Active Management Technology(AMT)的系统可能存在安全问题。AMT 是一项专为企业发现、修复和保护联网计算资产而设计的 Intel 技术。只要系统连接电源和网络,AMT 就会在操作系统下运行并提供带外系统访问权限,无论操作系统状态或电源状态如何。AMT 技术使用位于 Intel 芯片组内的 Intel Manageability Engine(ME)。
为使用 AMT,系统必须通过一个名为“配置”的流程。此流程用于将计算机连接至用于管理流程的远程计算机。要执行配置,一种方式是插入经特殊格式化的 USB 驱动器,此驱动器包含关于如何连接远程管理计算机的信息。此 USB 驱动器必须包含本地系统的 MEBx 密码才能对系统进行配置。MEBx 密码由 Intel 预配置为一个众所周知的默认值,之后由用户或管理员在配置流程期间进行更改或通过 Intel Management Setup 界面手动更改。
在某些系统上,即使 AMT 被认为在 BIOS 中已禁用,USB 配置仍可能会被利用。如果攻击者获得对系统的物理访问权限,他们可能会插入经特殊格式化的 USB 驱动器,从而将系统与其管理系统连接并控制有漏洞的系统。为此,他们必须知道系统的 MEBx 密码。
发现此漏洞后,Intel 将面向准备实施 AMT 的供应商发布更新的建议。Lenovo 将在这些建议发布后将其整理到一起。
解决方案:应采取哪些措施进行自我保护:
Lenovo 将针对受影响的系统发布更新版 BIOS,允许客户在 BIOS 中手动禁用 USB 配置。在此期间,Intel 建议客户遵循 IT 最佳实践以对计算机系统的物理访问权限和密码进行管理。用户应采取以下某种方法来更改众所周知的 Intel AMT 默认密码,从而防止不想要的 USB 配置:
- 将 Intel AMT 计算机系统远程配置成管理员控制模式(请参阅 http://www.intel.com/content/dam/www/public/us/en/documents/guides/scs-deployment-guide.pdf 和 http://www.intel.com/content/www/us/en/software/setup-configuration-software.html,了解关于如何进行此操作的说明)。
- 使用 USB 驱动器在本地更改 MEBX 密码(请参阅 http://www.intel.com/content/dam/www/public/us/en/documents/guides/scs-deployment-guide.pdf 和 http://www.intel.com/content/www/us/en/software/setup-configuration-software.html,了解关于如何进行此操作的说明)。
- 通过引导至 Intel Management Engine 设置,在本地更改 MEBX 密码
在本地更改默认 MEBX 密码的步骤(根据 BIOS 语言,步骤可能略有不同):
1、在系统启动时按下“Ctrl+P”以访问 Intel Management Engine 设置
2、选择“登录 MEBx”,系统将出现输入密码的提示。如果之前未配置密码,则默认密码为“admin”。
3、之后,系统将出现设置新密码的提示。此新密码需要包含至少 1 个大写字母、1 个小写字母、1 个数字和 1 个特殊字符,并且长度至少应为 8 个字符。
配置好新密码后,如果用户不希望更改任何其他 AMT 设置,则可以选择“退出 MEBx”。
如果用户没有看到用于访问 Intel Management Engine 的“按下 Ctrl+P”选项,则可在系统启动时按下 F1 以进入 BIOS 设置。导航至“高级”,确保将“按下 <Ctrl-P> 以进入 MEBx”设置为 [已启用]。
受影响的产品:
ThinkCentre:
|
系统 |
状态 |
最低版本, 包括修复程序 |
链接 |
|
E73Z |
未受影响 |
||
|
E93 |
受到影响 |
目标上市时间:2015 年 11 月 30 日 |
|
|
E93Z |
未受影响 |
||
|
Edge 62z |
未受影响 |
||
|
Edge 63z |
未受影响 |
||
|
Edge 72 |
未受影响 |
||
|
Edge 72z |
未受影响 |
||
|
Edge 92z |
未受影响 |
||
|
M53 |
未受影响 |
||
|
M62Z |
未受影响 |
||
|
M72e(Ivy) |
未受影响 |
||
|
M72e(PCI) |
未受影响 |
||
|
M72e(Tiny) |
未受影响 |
||
|
M72z |
未受影响 |
||
|
M73 |
未受影响 |
||
|
M73(Tiny) |
未受影响 |
||
|
M73Z |
未受影响 |
||
|
M79 |
未受影响 |
||
|
M83 |
受到影响 |
目标上市时间:2015 年 11 月 30 日 |
|
|
M83Z |
未受影响 |
||
|
M92 |
受到影响 |
目标上市时间:2015 年 11 月 30 日 |
|
|
M92P |
受到影响 |
目标上市时间:2015 年 11 月 30 日 |
|
|
M92Z |
受到影响 |
目标上市时间:2015 年 11 月 30 日 |
|
|
M93 |
受到影响 |
目标上市时间:2015 年 11 月 30 日 |
|
|
M93P |
受到影响 |
目标上市时间:2015 年 11 月 30 日 |
|
|
M93P(Tiny) |
受到影响 |
目标上市时间:2015 年 11 月 30 日 |
|
|
M93Z |
受到影响 |
目标上市时间:2015 年 11 月 30 日 |
|
|
ThinkCentre M78(类型 10BN-10BQ-10BR-10BS-10BT-10BU) |
未受影响 |
||
|
ThinkCentre M78(类型 1562-1565-1662-1663-1766-2111-2113-2114-4860-4863-4865-4866-5100) |
未受影响 |
ThinkPad:
· Lenovo 笔记本电脑
· ThinkCentre
· ThinkPad
· ThinkServer
· ThinkStation
|
系统 |
状态 |
最低版本, 包括修复程序 |
链接 |
|
ThinkPad 10(Ella-2) |
正在研究 |
||
|
ThinkPad 11e |
正在研究 |
||
|
ThinkPad 11e/Yoga 11e(Beema) |
正在研究 |
||
|
ThinkPad 11e/Yoga 11e(Broadwell) |
正在研究 |
||
|
ThinkPad 13e |
正在研究 |
||
|
ThinkPad E450/E450c/E550/E550c |
正在研究 |
||
|
ThinkPad E455/E555 |
正在研究 |
||
|
ThinkPad Edge E130 |
正在研究 |
||
|
ThinkPad Edge E135 |
正在研究 |
||
|
ThinkPad Edge E145 |
正在研究 |
||
|
ThinkPad Edge E330 |
正在研究 |
||
|
ThinkPad Edge E335 |
正在研究 |
||
|
ThinkPad Edge E430/E430c/E530/E503c |
正在研究 |
||
|
ThinkPad Edge E431/E531 |
正在研究 |
||
|
ThinkPad Edge E435/E535 |
正在研究 |
||
|
ThinkPad Edge E440/E540 |
正在研究 |
||
|
ThinkPad Edge E455/E555 |
正在研究 |
||
|
ThinkPad Edge S430 |
正在研究 |
||
|
ThinkPad Helix(20CG-20CH) |
正在研究 |
||
|
ThinkPad Helix(3xxx) |
正在研究 |
||
|
ThinkPad L330 |
正在研究 |
||
|
ThinkPad L430 |
正在研究 |
||
|
ThinkPad L440/L540 |
正在研究 |
||
|
ThinkPad L450 |
正在研究 |
||
|
ThinkPad L530 |
正在研究 |
||
|
ThinkPad L550 |
正在研究 |
||
|
ThinkPad S1 Yoga(非 vPro) |
正在研究 |
||
|
ThinkPad S1 Yoga(vPro) |
正在研究 |
||
|
ThinkPad S1 Yoga 12 |
正在研究 |
||
|
ThinkPad S3 Yoga 14 |
正在研究 |
||
|
ThinkPad S3-S431 |
正在研究 |
||
|
ThinkPad S3-S440 |
正在研究 |
||
|
ThinkPad S430 |
正在研究 |
||
|
ThinkPad S531 |
正在研究 |
||
|
ThinkPad S540 |
正在研究 |
||
|
ThinkPad T430 |
正在研究 |
||
|
ThinkPad T430i |
正在研究 |
||
|
ThinkPad T430s |
正在研究 |
||
|
ThinkPad T430si |
正在研究 |
||
|
ThinkPad T430u |
正在研究 |
||
|
ThinkPad T431s |
正在研究 |
||
|
ThinkPad T440 |
正在研究 |
||
|
ThinkPad T440p |
正在研究 |
||
|
ThinkPad T440s |
正在研究 |
||
|
ThinkPad T450/T450s |
正在研究 |
||
|
ThinkPad T530 |
正在研究 |
||
|
ThinkPad T530i |
正在研究 |
||
|
ThinkPad T540p |
正在研究 |
||
|
ThinkPad T550 |
正在研究 |
||
|
ThinkPad Tablet 10(32 位) |
正在研究 |
||
|
ThinkPad Tablet 10(64 位) |
正在研究 |
||
|
ThinkPad Tablet 8(32 位) |
正在研究 |
||
|
ThinkPad Tablet 8(64 位) |
正在研究 |
||
|
ThinkPad Twist/Edge S230 |
正在研究 |
||
|
ThinkPad W530 |
正在研究 |
||
|
ThinkPad W540 |
正在研究 |
||
|
ThinkPad W550s |
正在研究 |
||
|
ThinkPad X1 Carbon(20A7-20A8) |
正在研究 |
||
|
ThinkPad X1 Carbon(20BS-20BT) |
正在研究 |
||
|
ThinkPad X1 Carbon(34xx) |
正在研究 |
||
|
ThinkPad X131e(AMD) |
正在研究 |
||
|
ThinkPad X131e(Intel) |
正在研究 |
||
|
ThinkPad X140e(AMD) |
正在研究 |
||
|
ThinkPad X230 |
正在研究 |
||
|
ThinkPad X230 Tablet |
正在研究 |
||
|
ThinkPad x230i |
正在研究 |
||
|
ThinkPad x230i Tablet |
正在研究 |
||
|
ThinkPad x230s |
正在研究 |
||
|
ThinkPad X230t |
正在研究 |
||
|
ThinkPad X240 |
正在研究 |
||
|
ThinkPad X240s |
正在研究 |
||
|
ThinkPad X250 |
正在研究 |
||
|
ThinkPad x250(Sharkbay) |
正在研究 |
||
|
ThinkPad Yoga 11e |
正在研究 |
||
|
ThinkPad Yoga 15(Asahi 1.5) |
正在研究 |
ThinkServer:
|
系统 |
状态 |
最低版本, 包括修复程序 |
链接 |
|
ThinkServer RD330 |
未受影响 |
||
|
ThinkServer RD440 |
未受影响 |
||
|
ThinkServer RD540 |
未受影响 |
||
|
ThinkServer RD640 |
未受影响 |
||
|
ThinkServer RD430 |
未受影响 |
||
|
ThinkServer RD530 |
未受影响 |
||
|
ThinkServer RD630 |
未受影响 |
||
|
ThinkServer TS130 |
受到影响 |
目标上市时间:2015 年 10 月 30 日 |
|
|
ThinkServer TS430 |
受到影响 |
目标上市时间:2015 年 10 月 30 日 |
|
|
ThinkServer RD350 |
未受影响 |
||
|
ThinkServer RD450 |
未受影响 |
||
|
ThinkServer RD550 |
未受影响 |
||
|
ThinkServer RD650 |
未受影响 |
||
|
ThinkServer RQ940 |
未受影响 |
||
|
ThinkServer TD340 |
未受影响 |
||
|
ThinkServer TD350 |
未受影响 |
||
|
ThinkServer RQ750 |
未受影响 |
||
|
ThinkServer RS140 |
未受影响 |
||
|
ThinkServer TS140/TS240 |
受到影响 |
目标上市时间:2015 年 10 月 30 日 |
|
|
ThinkServer TS440/TS540 |
受到影响 |
目标上市时间:2015 年 10 月 30 日 |
ThinkStation:
|
系统 |
状态 |
最低版本, 包括修复程序 |
链接 |
|
ThinkStation C30(类型 1095-1096-1097) |
未受影响 |
||
|
ThinkStation C30(类型 1136-1137) |
受到影响 |
目标上市时间:2015 年 10 月 30 日 |
|
|
ThinkStation D30(类型 4223-4228-4229) |
未受影响 |
||
|
ThinkStation D30(类型 4353-4354) |
受到影响 |
目标上市时间:2015 年 10 月 30 日 |
|
|
ThinkStation P500 |
受到影响 |
目标上市时间:2015 年 10 月 30 日 |
|
|
ThinkStation P700 |
受到影响 |
目标上市时间:2015 年 10 月 30 日 |
|
|
ThinkStation P900 |
受到影响 |
目标上市时间:2015 年 10 月 30 日 |
|
|
ThinkStation S30(类型 0567-0568-0569-0606) |
未受影响 |
||
|
ThinkStation S30(类型 4351-4352) |
受到影响 |
目标上市时间:2015 年 10 月 30 日 |
Lenovo 台式机:
|
系统 |
状态 |
|
63 台式机 |
未受影响 |
|
A540 一体机(Broadwell) |
未受影响 |
|
A740 一体机 - BDW |
未受影响 |
|
B40-30 一体机 |
未受影响 |
|
B40-30 触控式一体机 |
未受影响 |
|
B50-30 一体机 |
未受影响 |
|
B50-30 触控式一体机 |
未受影响 |
|
B5035 |
未受影响 |
|
B50-35 一体机 |
未受影响 |
|
C20-05 一体机 |
未受影响 |
|
C20-30 一体机 |
未受影响 |
|
C260 一体机 |
未受影响 |
|
C260 触控式一体机 |
未受影响 |
|
C360 一体机 |
未受影响 |
|
C365 一体机 |
未受影响 |
|
C40-05 一体机 |
未受影响 |
|
C40-30 一体机 |
未受影响 |
|
C460 一体机 |
未受影响 |
|
C470 一体机 |
未受影响 |
|
C50-30 一体机 |
未受影响 |
|
C5030 非触控式一体机 |
未受影响 |
|
C560 一体机 |
未受影响 |
|
CANBERRA-QT&E |
未受影响 |
|
E50-00 台式机 |
未受影响 |
|
ErazerX700 台式机 |
未受影响 |
|
H50-00 |
未受影响 |
|
H50-05 |
未受影响 |
|
H50-30g |
未受影响 |
|
H50-50 |
未受影响 |
|
H530 |
未受影响 |
|
H530s |
未受影响 |
|
Horizon 2 27 平板电脑 |
未受影响 |
|
Horizon2e 桌面计算机 |
未受影响 |
|
Horizon2s 桌面计算机 |
未受影响 |
|
M4350 |
未受影响 |
|
S40-40 一体机 |
未受影响 |
Lenovo 笔记本电脑:
|
系统 |
状态 |
|
B40-30 |
未受影响 |
|
B40-45 |
未受影响 |
|
B40-70 |
未受影响 |
|
B40-80 |
未受影响 |
|
B41-35 |
未受影响 |
|
B490 |
未受影响 |
|
B50-30 |
未受影响 |
|
B50-30 触控式笔记本电脑 |
未受影响 |
|
B50-45 |
未受影响 |
|
B50-70 |
未受影响 |
|
B50-80 |
未受影响 |
|
B51-35 |
未受影响 |
|
B70-80 |
未受影响 |
|
E10-30 |
未受影响 |
|
E31-70 |
未受影响 |
|
E40-30 |
未受影响 |
|
E40-70 |
未受影响 |
|
E40-80 |
未受影响 |
|
E4325 |
未受影响 |
|
E50-70 |
未受影响 |
|
E50-80 |
未受影响 |
|
Flex 10 |
未受影响 |
|
Flex 2 Pro-15/Edge 15 |
未受影响 |
|
Flex 2-14 BTM |
未受影响 |
|
Flex 3-1120 |
未受影响 |
|
Flex 3-1435(Carrizol) |
未受影响 |
|
Flex 3-1470 |
未受影响 |
|
Flex 3-1470(HSW) |
未受影响 |
|
Flex 3-1570 |
未受影响 |
|
Flex 3-1570(HSW) |
未受影响 |
|
Flex2-14 |
未受影响 |
|
Flex2-14D |
未受影响 |
|
Flex2-15 |
未受影响 |
|
Flex2-15D |
未受影响 |
|
G40-30 |
未受影响 |
|
G40-45 |
未受影响 |
|
G40-70 |
未受影响 |
|
G40-70m |
未受影响 |
|
G40-75m |
未受影响 |
|
G40-80 |
未受影响 |
|
G40-80m |
未受影响 |
|
G41-35 |
未受影响 |
|
G50-30 |
未受影响 |
|
G50-45 |
未受影响 |
|
G50-70 |
未受影响 |
|
G50-70m |
未受影响 |
|
G50-75m |
未受影响 |
|
G50-80 |
未受影响 |
|
G50-80 触控式笔记本电脑 |
未受影响 |
|
G50-80m |
未受影响 |
|
G51-35 |
未受影响 |
|
G70-70 |
未受影响 |
|
G70-80 |
未受影响 |
|
I1000 |
未受影响 |
|
ideapad 100 15IBY |
未受影响 |
|
ideapad 100-14IBY |
未受影响 |
|
ideapad 305-15ABM |
未受影响 |
|
ideapad 305-15IBD |
未受影响 |
|
ideapad 305-15IBY |
未受影响 |
|
ideapad 305-15IHW |
未受影响 |
|
K20 |
未受影响 |
|
K2450 |
未受影响 |
|
K4450A |
未受影响 |
|
Lenovo Yoga 500-14ACL |
未受影响 |
|
Lenovo Yoga 500-14IBD |
未受影响 |
|
Lenovo Yoga 500-14IBD |
未受影响 |
|
Lenovo Yoga 500-14IHW |
未受影响 |
|
Lenovo Yoga 500-15IHW |
未受影响 |
|
M30-70 |
未受影响 |
|
M40-35 |
未受影响 |
|
M40-70 |
未受影响 |
|
M41-70 |
未受影响 |
|
M50-70 |
未受影响 |
|
miix 2 11 |
未受影响 |
|
MIIX 3-1030 |
未受影响 |
|
N40-30 |
未受影响 |
|
N40-45 |
未受影响 |
|
N40-70 |
未受影响 |
|
N40-80 |
未受影响 |
|
N41-35 |
未受影响 |
|
N50-45 |
未受影响 |
|
N50-70 |
未受影响 |
|
N51-35 |
未受影响 |
|
S20-30 |
未受影响 |
|
S20-30 触控式笔记本电脑 |
未受影响 |
|
S21e |
未受影响 |
|
S41-70/U41-70 |
未受影响 |
|
S435 |
未受影响 |
|
S436 |
未受影响 |
|
U31-70 |
未受影响 |
|
V1000 |
未受影响 |
|
V1050 |
未受影响 |
|
V1070 |
未受影响 |
|
V2000 |
未受影响 |
|
V3000 |
未受影响 |
|
Y40-80 |
未受影响 |
|
Y430p |
未受影响 |
|
Y50-70 |
未受影响 |
|
Y50-70 触控式笔记本电脑 |
未受影响 |
|
Y70-70 触控式笔记本电脑 |
未受影响 |
|
Yoga 2 13 |
未受影响 |
|
Yoga 2 pro |
未受影响 |
|
Yoga 3 11 |
未受影响 |
|
Yoga 3 14 |
未受影响 |
|
Yoga 3 pro |
未受影响 |
|
Yoga 300-11LBY |
未受影响 |
|
Yoga2 11(Vienna-M) |
未受影响 |
|
Yoga2 11(Vienna-X) |
未受影响 |
|
Z40-70 |
未受影响 |
|
Z40-74 |
未受影响 |
|
Z41-70 |
未受影响 |
|
Z50-70 |
未受影响 |
|
Z50-75 |
未受影响 |
|
Z51-70 |
未受影响 |
|
Z70-80 |
未受影响 |
修订历史:
|
版本 |
日期 |
描述 |
|
1.0 |
2015 年 9 月 23 日 |
初始版本 |