Bài đăng rõ ràng nhất tôi từng thấy về vấn đề này là Matthew Garrett, (bao gồm cả các bình luận).
Matthew hiện đã phát hành một công cụ để kiểm tra hệ thống của bạn cục bộ: xây dựng nó, chạy nó với
sudo ./mei-amt-check
và nó sẽ báo cáo liệu AMT có được bật và cung cấp hay không, và nếu có, các phiên bản phần sụn (xem bên dưới). Các README có thêm chi tiết.
Để quét mạng của bạn để tìm các hệ thống dễ bị tấn công, hãy quét các cổng 623, 624 và 16992 đến 16993 (như được mô tả trong tài liệu giảm thiểu của Intel ); ví dụ
nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24
sẽ quét mạng 192.168.1 / 24 và báo cáo trạng thái của tất cả các máy chủ phản hồi. Khả năng kết nối với cổng 623 có thể là dương tính giả (các hệ thống IPMI khác sử dụng cổng đó), nhưng bất kỳ cổng mở nào từ 16992 đến 16995 đều là một chỉ báo rất tốt về AMT được bật (ít nhất là nếu chúng phản hồi phù hợp: với AMT, điều đó có nghĩa là một phản hồi HTTP trên 16992 và 16993, phản hồi sau với TLS).
Nếu bạn thấy phản hồi trên các cổng 16992 hoặc 16993, việc kết nối với các cổng và yêu cầu /
sử dụng HTTP sẽ trả về phản hồi với một Server
dòng có chứa Công nghệ quản lý hoạt động của Intel Intel (R) trên các hệ thống có bật AMT; cùng dòng đó cũng sẽ chứa phiên bản phần sụn AMT đang sử dụng, sau đó có thể so sánh với danh sách được đưa ra trong tư vấn của Intel để xác định xem nó có dễ bị tấn công hay không.
Xem câu trả lời của CerberusSec để biết liên kết đến tập lệnh tự động hóa ở trên.
Có hai cách để khắc phục sự cố đúng cách
- nâng cấp chương trình cơ sở, khi nhà sản xuất hệ thống của bạn cung cấp bản cập nhật (nếu có);
- tránh sử dụng cổng mạng cung cấp AMT, bằng cách sử dụng giao diện mạng không có AMT trên hệ thống của bạn hoặc bằng cách sử dụng bộ chuyển đổi USB (nhiều máy trạm AMT, như hệ thống C226 Xeon E3 với cổng mạng i210, chỉ có một AMT- giao diện mạng có khả năng - phần còn lại đều an toàn, lưu ý rằng AMT có thể hoạt động trên wi-fi, ít nhất là trên Windows, vì vậy sử dụng wi-fi tích hợp cũng có thể dẫn đến thỏa hiệp).
Nếu cả hai tùy chọn này đều không khả dụng, bạn đang ở trong lãnh thổ giảm nhẹ. Nếu hệ thống có khả năng AMT của bạn chưa bao giờ được cung cấp cho AMT, thì bạn đã an toàn một cách hợp lý; cho phép AMT trong trường hợp đó rõ ràng chỉ có thể được thực hiện cục bộ và theo như tôi có thể yêu cầu sử dụng phần mềm hệ thống hoặc phần mềm Windows của hệ thống. Nếu AMT được bật, bạn có thể khởi động lại và sử dụng phần sụn để tắt nó (nhấn CtrlPkhi thông báo AMT được hiển thị trong khi khởi động).
Về cơ bản, trong khi lỗ hổng đặc quyền khá khó chịu, có vẻ như hầu hết các hệ thống Intel không thực sự bị ảnh hưởng. Đối với các hệ thống của riêng bạn chạy Linux hoặc hệ điều hành tương tự Unix khác, việc leo thang có thể yêu cầu quyền truy cập vật lý vào hệ thống để bật AMT ngay từ đầu. (Windows là một câu chuyện khác.) Trên các hệ thống có nhiều giao diện mạng, như được chỉ ra bởi Rui F Ribeiro , bạn nên đối xử với các giao diện có khả năng AMT giống như cách bạn đối xử với bất kỳ giao diện quản trị nào (có khả năng IPMI hoặc giao diện máy chủ cho một trình ảo hóa VM) và cách ly nó trên một mạng hành chính (vật lý hoặc Vlan). Bạn không thể dựa vào máy chủ để bảo vệ chính nó: iptables
v.v. không hiệu quả ở đây, vì AMT nhìn thấy các gói trước khi hệ điều hành thực hiện (và giữ các gói AMT cho chính nó).
Máy ảo có thể làm phức tạp vấn đề, nhưng chỉ theo nghĩa là chúng có thể gây nhầm lẫn AMT và do đó tạo ra kết quả quét khó hiểu nếu AMT được bật. amt-howto(7)
đưa ra ví dụ về các hệ thống Xen trong đó AMT sử dụng địa chỉ được cung cấp cho DomU qua DHCP, nếu có, điều đó có nghĩa là quá trình quét sẽ hiển thị AMT hoạt động trên DomU, chứ không phải là Dom0 ...