如何更简单的缓解英特尔的AMT漏洞(CVE-2017-5689)?

Change 新闻 2017年5月8日发布
Favorite收藏

导语:5月1日,英特尔(Intel)公司官方发布了一个严重漏洞,该漏洞主要存在英特尔管理引擎(ME)的主动管理(AMT)、服务器管理组件(ISM)、以及英特尔小企业技术(SBT)中,攻击者可以利用该漏洞对Intel产品系统的远程控制进行提权。

5月1日,英特尔(Intel)公司官方发布了一个严重漏洞,该漏洞主要存在英特尔管理引擎(ME)的主动管理(AMT)、服务器管理组件(ISM)、以及英特尔小企业技术(SBT)中,攻击者可以利用该漏洞对Intel产品系统的远程控制进行提权。该漏洞影响极大,涉及2010年以来生产的所有包含远程管理功能的英特尔芯片,以及搭载标准可管理(Intel Standard Manageability,简称ISM)和小企业技术(Intel Small Business Technology)固件的产品。目前英特尔官方已经发布了windows漏洞补丁,Linux的补丁马上也会进行发布。

但令人遗憾的是,事实上只要你的服务器开启了AMT功能,那么就必然存在该漏洞,但即使你关闭了这一功能,也仍然有可能会被本地漏洞所利用。

目前,对于这一漏洞的缓解措施更多的是希望用户能够去确保AMT已禁用,并且如果你是Windows管理员,并且在Windows中存在不受信任的用户,那么还应禁用或卸载LSM。那么如何更简单的完成这一操作呢?下面我们来说明一下:

1)下载Intel安装和配置软件(Intel SCS)并提取文件

2)打开管理员命令提示符  并指向你在步骤1中解压缩文件的位置: 运行

`cd Configurator`

3)在命令提示符下,运行

`ACUConfig.exe UnConfigure

如果这时你收到了错误提示,请尝试以下选项之一:

在没有RCS集成的情况下,在ACM中取消配置系统:

“ACUConfig.exe UnConfigure / AdminPassword <password> / Full”

使用RCS集成取消配置系统:

“ACUConfig.exe UnConfigure / RCSaddress <RCSaddress> / Full”

4)这里仍然是在命令提示符下,可以通过以下命令禁用和/或删除LMS:

`sc config LMS start = disabled`
`sc delete LMS`

再运行

`sc qc LMS`

这时就会显示LMS.exe或FAIL的路径。如果显示了路径,那么请使用资源管理器将其删除。如果失败了也不要担心。

5)重启电脑。

6)检查客户端上的Intel ME Internet Assigned Names Authority(IANA)端口上是否仍然有一个套接字:16992,16993,16994,16995,623以及664 (即使英特尔MET GUI显示英特尔ME是“未配置”,你也可以在开始验证之前进行此操作)。

在命令提示符下(不需要提升),运行

`netstat -na | findstr“ <16993 >  <16992 >  <16994 >  <16995 >  <623 >  <664 >”`

7)英特尔AMT GUI现在应该会显示“information unavailable on both remaining tabs” (在未经过上述步骤之前这里可能会有3个或更多的选项)。

1.png

2.png

8)现在你可以删除LMS.exe了。它通常位于“C: Program Files(x86) Intel  Intel(R)Management Engine Components  LMS”中。当然你也可以再进一步,使用“添加/删除程序”卸载AMT GUI,不过以后你可能需要更多的时间来检查Intel AMT是否仍然在禁用。

本文参考来源于https://mattermedia.com/blog/disabling-intel-amt/,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/4590.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

    蔡宁宁 2017-05-09 11:20

    额…这个事情挺严重的?补丁必须打上吗?感觉最近没啥太多的报道啊…