Rechteausweitungen bei SKU von Intel Manageability

● Zusammenfassender Bericht zum Problem

- Es gibt ein Verfahren zur Behandlung eines eskalierbaren Sicherheitsrisikos beim Zugriffsrecht bei den Softwareversionen von Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) und Intel® Small Business Technology, und zwar den Firmware-Versionen 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 und 11.6, die es einem Angreifer ohne Zugriffsrecht ermöglichen, die Kontrolle über die mittels dieser Produkte bereitgestellten Steuerungsfunktionen (manageability features) zu erlangen. Dieses Sicherheitsrisiko existiert nicht für Kunden-PCs mit Kunden-Firmware, die mit Intel laufen, Servern von Intel, die Intel® Server Platform Services (Intel® SPS) oder den Intel® Xeon®-Prozessor E3 sowie Arbeitsstationen mit Intel® Xeon®-Prozessor E5 und mit Intel® SPS-Firmware verwenden
- https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

● Informationen zur Risikominderung

- Manche Geräte von Samsung unterstützen Intel® AMT und Intel® SBT
- Bitte überprüfen Sie, ob für Ihr Gerät ein Sicherheitsrisiko besteht

● Zielmodellliste

NP200B4C-A01MX

NP400B4C-EG1CN

NP400B5C-S05CN

NP600B4B-S02CN

NP600B5B-S01TR

NP200B4C-BB1BR

NP400B4C-S01CH

NP600B4B-A01CL

NP600B4B-S02MX

NP600B5B-S01UK

NP200B4C-EG1CN

NP400B4C-S01CN

NP600B4B-A01UK

NP600B4C-A01FR

NP600B5B-S01US

NP200B4C-S01CN

NP400B5C-A01FR

NP600B4B-A01US

NP600B4C-A01MX

NP600B5B-S02CN

NP200B5C-A01AE

NP400B5C-A01IT

NP600B4B-A02CH

NP600B4C-A01RU

NP600B5B-S02ES

NP200B5C-A01IN

NP400B5C-A01PL

NP600B4B-AA1IL

NP600B4C-A01US

NP600B5B-S02FR

NP200B5C-A02AE

NP400B5C-A01UK

NP600B4B-AD1BR

NP600B4C-AA1IL

NP600B5B-S02UK

NP200B5C-S01AE

NP400B5C-A01ZA

NP600B4B-AZ1BE

NP600B4C-BB1BR

NP600B5B-S03FR

NP400B4C-A01CO

NP400B5C-A02FR

NP600B4B-AZ1DE

NP600B4C-EG1CN

NP600B5B-S03UK

NP400B4C-A01DE

NP400B5C-A02IT

NP600B4B-AZ1ES

NP600B4C-S01CN

NP600B5C-H01DE

NP400B4C-A01ES

NP400B5C-A02SE

NP600B4B-AZ1FR

NP600B5B-A01UK

NP600B5C-S01BE

NP400B4C-A01FR

NP400B5C-A02UK

NP600B4B-AZ1RO

NP600B5B-AZ1DE

NP600B5C-S01CH

NP400B4C-A01IL

NP400B5C-A02ZA

NP600B4B-AZ1UK

NP600B5B-AZ1GR

NP600B5C-S01CN

NP400B4C-A01IT

NP400B5C-A03DE

NP600B4B-AZ1ZA

NP600B5B-AZ1ID

NP600B5C-S01SE

NP400B4C-A01MX

NP400B5C-A04DE

NP600B4B-AZ2DE

NP600B5B-AZ1PT

NP600B5C-S01UK

NP400B4C-A01PL

NP400B5C-FDCRU

NP600B4B-H01FR

NP600B5B-AZ1TR

NP600B5C-S02BE

NP400B4C-A01RU

NP400B5C-H01DE

NP600B4B-H01IT

NP600B5B-AZ3DE

NP600B5C-S02DE

NP400B4C-A01SE

NP400B5C-H02DE

NP600B4B-HC1DE

NP600B5B-HC1DE

NP600B5C-S02SE

NP400B4C-A01UK

NP400B5C-S01IT

NP600B4B-HC2DE

NP600B5B-HC2DE

NP600B5C-S03DE

NP400B4C-A02CN

NP400B5C-S01ZA

NP600B4B-S01CN

NP600B5B-HC3DE

NP400B4C-A02CO

NP400B5C-S02CH

NP600B4B-S01DE

NP600B5B-S01CN

NP400B4C-A02ES

NP400B5C-S03CN

NP600B4B-S01MX

NP600B5B-S01DE

NP400B4C-A02IT

NP400B5C-S04CN

NP600B4B-S01TR

NP600B5B-S01NL

- Suchtool : https://downloadcenter.intel.com/download/26755
- Aktualisieren Sie bitte die Anwendung ME FW mit dem Update-Tool, wenn für Ihr System kein Sicherheitsrisiko besteht.

● So aktualisieren Sie die Anwendung ME bei Samsung vPro- und SMB-Geräten

- Schritt 1) Heben Sie die Bereitstellung auf, wenn Benutzer oder IT-Manager die Bereitstellung auf Ihrem PC aktiviert haben
    Dieser Schritt kann übersprungen und zum nächsten Schritt übergegangen werden, wenn die Bereitstellung nicht auf Ihrem PC aktiviert ist.

- Schritt 2) ) Laden Sie das Suchtool herunter und installieren Sie es.
    Suchtool URL : https://downloadcenter.intel.com/download/26755

- Schritt 3) Führen Sie die Datei Intel-SA-00075-GUI.exe aus
    Die Datei Intel-SA-00075-GUI.exe erfordert .NET Framework.
    Installieren Sie es, wenn es NICHT bereits auf dem Gerät installiert ist und starten Sie das Suchtool erneut

- Schritt 4) Risikobewertungen überprüfen
    Wenn dabei „nicht gefährdet“ wie unten dargestellt angezeigt wird, ist das Gerät sicher.
    Sie müssen die Anwendung ME F/W nicht aktualisieren. Gehen Sie weiter zu Schritt 11.
    
    Wenn dabei „gefährdet“ wie unten dargestellt angezeigt wird, ist Ihr Gerät NICHT sicher.
    Sie müssen die Anwendung ME F/W aktualisieren. Gehen Sie zu Schritt 5
    

- Schritt 5) Beenden Sie den LMS(Local Management Service)-Prozess
    Wie kann ich den LMS-Prozess beenden?
    1. Führen Sie die Datei cmd aus, um die DOS-Box zu öffnen
    2. Geben Sie „sc config LMS start = disabled“ ein und drücken Sie die Eingabetaste.
    
    3. Neustart des Systems

- Schritt 6) Laden Sie das Update-Tool-Paket für die Anwendung ME für Samsung mithilfe der unten angegebenen URL herunter.
    http://orcaservice.samsungmobile.com/filedownloader.aspx?Type=PATCH&filename=BASW-A1297A01.ZIP

- Schritt 7) Entpacken Sie das heruntergeladene Updatepaket zur Anwendung ME (BASW-A1297A01.ZIP)
    und führen Sie dann die Datei MeFirmwareUpdateHelper.exe aus
    Daraufhin werden Ihnen die aktuelle Firmware-Version und die für das Update verfügbare Version angezeigt.
    Wählen Sie OK, um die Aktualisierung zu starten.
    
    Berühren Sie den PC nicht, während das Update durchgeführt wird
    

- Schritt 8) Wenn das Update abgeschlossen ist, wird folgende Meldung angezeigt:
    Wählen Sie OK, um wird das Gerät auszuschalten. Schalten Sie anschließend das Gerät wieder ein.
    

- Schritt 9) Starten Sie den LMS-Prozess
    LMS-Prozess starten
    1. Führen Sie die Datei cmd aus, um die DOS-Box zu öffnen.
    2. Geben Sie „sc config LMS start = auto“ ein und drücken Sie die Eingabetaste.
    
    3. Neustart des Systems.

- Schritt 10) Aktivieren Sie die Bereitstellung, wenn Sie die vPro-Funktion verwenden möchten.
    Fragen Sie Ihren IT-Manager, wenn Sie die Bereitstellung einrichten möchten

- Schritt 11) Ende


- FAQ)
    #1. Bitte überprüfen Sie, ob das Suchtool von Intel richtig funktioniert.
    Wenn .NET Framework nicht auf dem Gerät installiert ist, funktioniert es nicht
    

    #2. Wenn dieses Firmware-Update nicht für dieses Gerät bestimmt ist oder das Update bereits abgeschlossen ist, wird folgende Meldung angezeigt:
    Wenn Sie diese Meldung auch sehen können, wenn das Suchtool von Intel keinen Firmware-Status für die Anwendung ME erreichen kann, überprüfen Sie bitte, ob „gefährdet“ oder „NICHT gefährdet“ als Status beim Suchtool von Intel angezeigt wird.
    

    #3) Im Falle, dass die Software AMT (vPro) auf Ihrem Gerät bereitgestellt wird, sollten Sie zunächst die Bereitstellung aufheben.
    Sie können diese Meldung auch in der Datei MeFirmwareUpdateHelper.exe im bereitgestellten System sehen