Уразливість в intel management engine

Вразливими є всі продукти Intel з інтегрованим Management Engine - це Intel AMT (Active Management Technology), Intel SBT (Small Business Technology) і Intel Standard Manageability (ISM).

Чи все так страшно і що робити?

Навіщо потрібен Intel Management Engine

IMT і пов'язані з ним послуги - це "Intel'овской KVM для робочих станцій". Чи включається і налаштовується він як в BIOS, так і через Windows. Кількість різного ПО, що дозволяє дистанційно керувати робочими станціями з використанням ME / vPro - дуже переконливо.

Ми розглянемо сценарій "ОС на базі Windows працює на системі, у якій вимкнений за замовчуванням Intel vPro включений і налаштований для управління через NT-сервіс".

Як діагностувати проблему

Завантажте з сайту Intel Intel® SCS - System Discovery Utility. розпакуйте і запустіть. Ось так:

SCSDiscovery.exe / Output Console SystemDiscovery

Утиліта спробує підключитися до сервісу Intel® Management and Security Application Local Management Service - він реалізований як NT-служба і слухає трафік на TCP-портах 16992, 16993, 16994, 16995, 623 і 664.

Якщо підключення не вдалося - переконайтеся, що ці порти взагалі хтось слухає.

netstat -na | findstr "\ \ \ \ \ \"

Якщо немає, то переконаєтеся, що такий сервіс є в системі. Це можна перевірити, запитавши статус:

Якщо отриманий код

[SC] OpenService FAILED 1060:

The specified service does not exist as an installed service.

уразливі платформи

Можете визначити і простіше - якщо є логотип Intel vPro, то це привід для занепокоєння.

Варіанти вирішення проблеми

Найправильніший з точки зору Intel варіант - поновіть firmware. Дійсно, це вирішить проблему з виявленої вразливістю.

Третій - відключіть сервіс LMS через Group Policy. Звичайно, в цьому варіанті пропаде і функціональність віддаленого управління, але можливо, ви їй і не користувалися, або можете замінити її якоюсь іншою реалізацією.

І чётвёртий - вимкніть Intel vPro через BIOS і видаліть з пристрою, що управляє передачею трафіку в даний L3-сегмент. дозвіл на передачу IP-трафика для перерахованих вище TCP-портів.