Intel ME的漏洞

前文中我們已經提到，本次針對Intel ME安全性的大規模質疑和報導，主要是因為近期Intel承認了這一漏洞，並且開始嘗試補救。然而從之前的新聞報導中我們會發現，與其相關的漏洞其實早已被發現，一些業界人士甚至表示，至少在5年前就開始向intel反應這一漏洞，但Intel卻一直不予重視。

由於Intel ME本身是嚴格保密且幾乎不可能被破解的，因此其漏洞更多地來自基於Intel ME的應用，從目前透露的情況看，事實也確實如此。不過需要注意的是，我們前面已經提到，Intel ME自身的權限非常高，因此在這一平臺上運行的應用也大都可以使用很高的權限，例如前面提到的AMT就可以在作業系統無法感知和控制的底層運行，而Intel PTT則是硬體級的安全驗證工具。由於漏洞是基於平臺上的應用，因此可能存在於Intel ME平臺上的可用漏洞是比較多的，雖然目前還沒有大規模爆發的相關問題，但很多相關部門或人員已經發現了非常危險的問題。

● Intel ME的典型漏洞案例及補救

2016年初的聯想（Lenovo）安全公告——LEN-3556中提到，德國聯邦信息安全局（BSI）發現一些採用AMT的系統可能存在安全問題。為使用 AMT，系統必須通過一個名為「配置」的流程，此流程用於將計算機連接至用於管理流程的遠程計算機。執行配置的一種方式是插入經特殊格式化的USB驅動器，此驅動器包含關於如何連接遠程管理計算機的信息。此USB 驅動器必須包含本地系統的MEBx（Management Engine BIOS Extension）密碼才能對系統進行配置。MEBx密碼是Intel預配置的一個眾所周知的默認值，之後由用戶或管理員在配置流程期間進行更改或通過Intel Management Setup界面手動更改。

但在某些系統上，即使AMT被認為在BIOS中已禁用，USB配置仍可能會被利用。如果攻擊者獲得對系統的物理訪問權限，他們可能會插入經特殊格式化的USB驅動器，從而將系統與其管理系統連接並控制有漏洞的系統。雖然攻擊者必須知道系統的MEBx密碼，但由於很多管理員會使用默認密碼，因此這一漏洞仍然是非常危險的。

針對這一漏洞Lenovo發布了更新版BIOS，允許客戶在BIOS中手動禁用USB配置。同時Intel建議客戶對計算機系統的物理訪問權限和密碼進行管理。其中針對Intel AMT的默認密碼，從而防止被不法分子進行USB配置，其步驟如下。

1.將Intel AMT計算機系統遠程配置成管理員控制模式。

2.使用USB驅動器在本地更改MEBx密碼。

3.通過引導至Intel Management Engine設置，在本地更改MEBx密碼。

在本地更改默認MEBx密碼的步驟如下（根據 BIOS 語言，步驟可能略有不同）。

1.在系統啟動時按下「Ctrl+P」進入Intel Management Engine設置（圖5）。用戶沒有看到訪問Intel Management Engine的「按下Ctrl+P」提示或按下後沒有反應，則可在系統啟動時進入 BIOS設置，在「高級」界面中將「訪問MEBx」的相關設置設置為「啟用」狀態，之後重啟即可通過Ctrl+P組合鍵進入Intel Management Engine設置

2.選擇「登錄MEBx」，系統將出現輸入密碼的提示，如果之前未配置密碼，則默認密碼為「admin」。

3.登錄後系統將出現設置新密碼的提示。此新密碼需要包含至少1個大寫字母、1個小寫字母、1個數字和1個特殊字符，並且長度至少應為8個字符。

4.配置好新密碼後，如果用戶不希望更改任何其他 AMT 設置，則可以選擇「退出 MEBx」。

雖然我們此處提供的例子有些極端，威脅主要來自物理外設，而目前更多的威脅是基於網絡的遠程攻擊，不過我們這裡介紹的方法還是具有一定普適性的，例如更新BIOS、改變默認密碼等看來簡單的操作，就可以大大增強Intel ME服務的安全性。