更新

英特尔主动管理技术（AMT）中的安全漏洞可能会被不法分子利用，以绕过笔记本电脑上的登录提示。

根据安全机构F-Secure的说法，英特尔®AMT中的默认设置允许入侵者彻底绕过用户和BIOS密码以及TPM和Bitlocker PIN，几乎可以在30秒左右的时间内闯入任何企业笔记本电脑。此漏洞利用需要物理访问目标计算机，与最近的Spectre和Meltdown漏洞无关，影响全球数百万台笔记本电脑。

AMT提供企业级个人计算机的远程访问监控和维护，允许远程管理。技术方面的短板早已被发现（例1，例2），但最新的漏洞仍然值得注意，因为易于开发。F-Secure报告中说：“漏洞可以在几秒钟内被利用而不需要一行代码。”

设置BIOS密码（通常可防止未经授权的用户启动设备或对其进行低级更改）不会阻止访问AMT BIOS扩展。这允许攻击者访问配置AMT并使远程利用成为可能。

细节

为避开密码提示，攻击者需要做的就是打开目标机器，并在启动时按住CTRL + P。然后，攻击者可以使用默认密码admin登录到英特尔管理引擎BIOS扩展（MEBx），因为这在大多数公司笔记本电脑上很可能没有修改。攻击者随后可以自由更改默认密码、启用远程访问、并将AMT的用户加入"None"。

此时，只要能够将受害者的机器接入同一个网段，攻击者就可以远程访问系统。通过攻击者操作的CIRA服务器，从本地网络外部访问设备也是可能的。

F-Secure的高级安全顾问Harry Sintonen说：”安全漏洞看似简单易行，但具有难以置信的破坏潜力。“实际上，即使采取最全面的安全措施，攻击者也可以完全控制个人的工作笔记本电脑。

虽然最初的攻击需要物理上的访问，但Sintonen解释说，携带笔记本外出时很容易被所谓的“恶女仆”的利用。他说：“当你出去喝酒的时候，把笔记本电脑留在旅馆里。攻击者闯入你的房间并在一分钟内配置你的笔记本电脑，当你在酒店的无线局域网中使用笔记本电脑时，他们就可以访问你的桌面。由于你的电脑连接公司的VPN，所以攻击者可以访问公司资源“。

在机场、咖啡店这些地方，由于无人看管或被黑客的帮凶分散了注意力，都可能导致笔记本电脑劫持。

去年夏天以来，Sintonen和F-Secure的同事们反复提及此漏洞， 其类似于CERT-Bund之前发现的一个USB provisioning漏洞。F-Secure强调的漏洞与最近出现的其他漏洞截然不同，这与英特尔AMT的不安全配置和部署有关。

F-Secure说，问题的一大部分归因于企业在实践中没有遵循英特尔的指导意见，并补充说公开此漏洞是为了引起人们的关注。F-Secure表示：“去年夏天我们发现了这个问题，到现在为止，我们已经在数千台笔记本电脑中发现了该问题。尽管制造商提供了如何防止这种情况的信息，但制造商仍然没有遵循最佳策略，从而将大量易受攻击的笔记本电脑暴露。企业和用户不得不自己采取保护措施，但大多数人并没有意识到这一点。所以提高公众意识非常重要。“

F-Secure的研究表明，一些系统制造商访问MEBx时不需要BIOS密码。因此，未授权即可访问MEBx的计算机，其物理访问权限不受限制，并且其AMT处于出厂默认状态，可以更改设置。

El Reg了解到，早在2015年，英特尔已经通知系统制造商提供BIOS选项来禁用USB provisioning，并将其值默认设置为禁用。该指南（PDF）已于去年11月更新并重申。

F-Secure报告说，尽管有这些指导，不安全的英特尔AMT架构依然普遍：尽管英特尔已编写了关于AMT的全面指南，但却没有对真实世界中企业笔记本电脑的安全性产生预期的影响。

此问题影响到大部分（如果不是全部的话）支持英特尔管理引擎/英特尔AMT的笔记本电脑。Chipzilla建议厂商在推出AMT时需要BIOS密码。但是，许多设备制造商不遵循这个建议。

F-Secure建议企业调整系统配置过程以包括设置强大的AMT密码，如果可行的话禁用AMT。

追加信息

英特尔的一位发言人已接触并告诉我们：“感谢安全研究机构提醒人们注意，一些系统制造商没有配置他们的系统来保护英特尔管理引擎BIOS扩展（MEBx）。我们在2015年发布了有关最佳配置实践的指南，并在2017年11月对其进行了更新，我们强烈要求设备制造商配置其系统以最大限度地提高安全性。对于Intel来说，没有客户安全更重要的事。我们将继续定期更新指南，让系统制造商确保拥有关于如何保护自身数据的最佳信息。”