Tư vấn bảo mật cho Công cụ quản lý bảo mật hội tụ Intel® (Intel® CSME): SA-00404

Tài liệu

Thông tin sản phẩm & Tài liệu

000057259

30/11/2023

Vào ngày 8 tháng 9 năm 2020, Intel đã công bố thông tin tư vấn bảo mật INTEL-SA-00404. Thông tin này được công bố như một phần trong quy trình cập nhật sản phẩm thường xuyên của Intel.

Tư vấn bảo mật tiết lộ rằng các lỗ hổng bảo mật tiềm ẩn có thể cho phép leo thang đặc quyền trong:

  • Intel® Active Management Technology (Intel® AMT)
  • Intel® Standard Manageability (ISM)

Intel đang phát hành các bản cập nhật firmware và phần mềm để giảm thiểu các lỗ hổng tiềm ẩn này.

Tham khảo tư vấn an ninh công cộng INTEL-SA-00404 để biết chi tiết đầy đủ về điểm số của các lỗ hổng và phơi nhiễm phổ biến (CVE) và Hệ thống chấm điểm lỗ hổng chung (CVSS).

Tìm thông tin bổ sung.

Sản phẩm bị ảnh hưởng

Intel® Active Management Technology (Intel® AMT), Intel® Standard Manageability (ISM):

Phiên bản cập nhật Thay thế phiên bản
11.8.79 11.0 đến 11.8.77
11.11.79 11.10 đến 11.11.77
11.22.79 11.20 đến 11.22.77
12.0.68 12.0 đến 12.0.64
14.0.39 14.0.0 đến 14.0.33

Lưu ý

Các phiên bản chương trình cơ sở Intel® Manageability Engine (Intel® ME) 3.x đến 10.x không còn được hỗ trợ. Không có bản phát hành mới nào được lên kế hoạch cho các phiên bản này.

Khuyến nghị

Liên hệ với nhà sản xuất hệ thống hoặc bo mạch chủ của bạn để có được bản cập nhật vi chương trình hoặc BIOS giải quyết lỗ hổng này. Intel không thể cung cấp bản cập nhật cho hệ thống hoặc bo mạch chủ từ các nhà sản xuất khác.

Các câu hỏi thường gặp

Nhấp vào chủ đề để biết chi tiết:

Làm cách nào để giảm thiểu các lỗ hổng này? Liên hệ với nhà sản xuất hệ thống hoặc bo mạch chủ của bạn để có được bản cập nhật vi chương trình hoặc BIOS giải quyết lỗ hổng này. Intel không thể cung cấp bản cập nhật cho hệ thống hoặc bo mạch chủ từ các nhà sản xuất khác.
tả lỗ hổng, Số lỗ hổng và phơi nhiễm chung (CVE) và thông tin Hệ thống chấm điểm lỗ hổng chung (CVSS) cho các lỗ hổng được xác định liên quan đến Intel® AMT và ISM là gì? Xem Tư vấn bảo mật INTEL-SA-00404 để biết đầy đủ thông tin về các CVE liên quan đến thông báo này.
Làm cách nào để xác định xem tôi có bị ảnh hưởng bởi lỗ hổng này hay không?Công cụ phát hiện Intel® Converged Security and Management Engine (Intel® CSME) có thể chạy trên bất kỳ nền tảng nào để đánh giá xem nền tảng có đang chạy phiên bản chương trình cơ sở mới nhất hay không. Công cụ này có sẵn trong Trung tâm Tải xuống.
Tôi có một hệ thống hoặc bo mạch chủ do Intel (Intel® NUC, Intel® Mini PC) sản xuất đang hiển thị là dễ bị tấn công. Tôi phải làm gì? Đi tới Hỗ trợ Intel và điều hướng đến trang hỗ trợ cho sản phẩm của bạn. Bạn sẽ có thể kiểm tra các bản cập nhật BIOS hoặc chương trình cơ sở cho hệ thống của mình.
Tôi đã xây dựng máy tính của mình từ các linh kiện, vì vậy tôi không có nhà sản xuất hệ thống để liên hệ. Tôi phải làm gì? Liên hệ với nhà sản xuất bo mạch chủ bạn đã mua để xây dựng hệ thống của mình. Họ chịu trách nhiệm phân phối bản cập nhật BIOS hoặc chương trình cơ sở chính xác cho bo mạch chủ.
Có yếu tố giảm thiểu nào có thể làm giảm tính nhạy cảm của hệ thống đối với việc khai thác vấn đề này không?
  • Đối với vectơ tấn công mạng, nếu Intel® AMT không được cung cấp, thì hệ thống không dễ bị tấn công.
  • Đối với vectơ tấn công cục bộ, nếu Intel® Local Manageability Service (Intel® LMS) không được cài đặt hoặc ở trạng thái dừng hoặc tắt , hệ thống không dễ bị tấn công.
  • Nếu nền tảng được cấu hình để sử dụng Truy cập từ xa do máy khách khởi tạo (CIRA) và phát hiện môi trường được đặt để chỉ ra rằng nền tảng luôn ở bên ngoài mạng công ty, hệ thống đang ở chế độ chỉ CIRA và không tiếp xúc với vectơ mạng.
  • Intel đã cung cấp hướng dẫn phát hiện cho các nhà cung cấp bảo mật khác nhau, những người đã phát hành chữ ký vào các sản phẩm phát hiện/ngăn chặn xâm nhập của họ như một biện pháp bổ sung để giúp bảo vệ khách hàng khi họ lập kế hoạch triển khai bản cập nhật này.
  • Để biết thêm chi tiết, hãy tham khảo đại diện/nhà sản xuất hệ thống Intel của bạn.
Làm cách nào để xác định xem hệ thống của tôi có đáp ứng các tiêu chí này hay không?
  • Để xác định xem Intel AMT có được cung cấp hay không, hãy tải xuống Công cụ cấu hình Intel® Endpoint Management Assistant (Intel® EMA Configuration Tool):
    • Cài đặt EMAConfigTool.msi và chạy từ quản trị Windows CLI (giao diện dòng lệnh) C:\Program Files (x86)\Intel\EMAConfigTool
    • Đầu ra của Intel® EMA Configuration Tool sẽ cho biết liệu Intel® AMT có được cung cấp hay không và trạng thái của Dịch vụ quản lý cục bộ (Intel® LMS). Các bước dưới đây cũng sẽ hiển thị trạng thái Intel® LMS.
  • Để xác định xem Intel® Local Manageability Service (Intel® LMS) đang ở trạng thái dừng hoặc bị vô hiệu hóa từ Dịch vụ Windows:
    1. Nhấn phím Windows* trên bàn phím và chạy services.msc.
    2. Tìm Intel® Management and Security Application Local Management Service và kiểm tra cột Startup Type .

Nếu bạn có thêm câu hỏi về vấn đề này, hãy liên hệ với Intel Customer Support.