Élévation des privilèges des UGS Intel Manageability

● Résumé du problème

- Il existe une faille d’élévation des privilèges présente dans les versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 et 11.6 d’Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) et Intel® Small Business Technology qui permet à un attaquant sans privilèges de prendre le contrôle des fonctionnalités de gestion fournies par ces produits. Cette faille n’est pas présente sur les PC particuliers fonctionnant avec Intel, sur les serveurs Intel fonctionnant avec Intel® Server Platform Services (Intel® SPS), ni sur les stations de travail avec un processeur Intel® Xeon® E3 ou Intel® Xeon® E5 employant le micrologiciel Intel® SPS
- https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

● Guide d’atténuation des risques

- Sur certains ordinateurs Samsung, Intel® AMT et Intel® SBT sont activés.
- Vérifiez si votre système est vulnérable

● Liste des modèles concernés

NP200B4C-A01MX

NP400B4C-EG1CN

NP400B5C-S05CN

NP600B4B-S02CN

NP600B5B-S01TR

NP200B4C-BB1BR

NP400B4C-S01CH

NP600B4B-A01CL

NP600B4B-S02MX

NP600B5B-S01UK

NP200B4C-EG1CN

NP400B4C-S01CN

NP600B4B-A01UK

NP600B4C-A01FR

NP600B5B-S01US

NP200B4C-S01CN

NP400B5C-A01FR

NP600B4B-A01US

NP600B4C-A01MX

NP600B5B-S02CN

NP200B5C-A01AE

NP400B5C-A01IT

NP600B4B-A02CH

NP600B4C-A01RU

NP600B5B-S02ES

NP200B5C-A01IN

NP400B5C-A01PL

NP600B4B-AA1IL

NP600B4C-A01US

NP600B5B-S02FR

NP200B5C-A02AE

NP400B5C-A01UK

NP600B4B-AD1BR

NP600B4C-AA1IL

NP600B5B-S02UK

NP200B5C-S01AE

NP400B5C-A01ZA

NP600B4B-AZ1BE

NP600B4C-BB1BR

NP600B5B-S03FR

NP400B4C-A01CO

NP400B5C-A02FR

NP600B4B-AZ1DE

NP600B4C-EG1CN

NP600B5B-S03UK

NP400B4C-A01DE

NP400B5C-A02IT

NP600B4B-AZ1ES

NP600B4C-S01CN

NP600B5C-H01DE

NP400B4C-A01ES

NP400B5C-A02SE

NP600B4B-AZ1FR

NP600B5B-A01UK

NP600B5C-S01BE

NP400B4C-A01FR

NP400B5C-A02UK

NP600B4B-AZ1RO

NP600B5B-AZ1DE

NP600B5C-S01CH

NP400B4C-A01IL

NP400B5C-A02ZA

NP600B4B-AZ1UK

NP600B5B-AZ1GR

NP600B5C-S01CN

NP400B4C-A01IT

NP400B5C-A03DE

NP600B4B-AZ1ZA

NP600B5B-AZ1ID

NP600B5C-S01SE

NP400B4C-A01MX

NP400B5C-A04DE

NP600B4B-AZ2DE

NP600B5B-AZ1PT

NP600B5C-S01UK

NP400B4C-A01PL

NP400B5C-FDCRU

NP600B4B-H01FR

NP600B5B-AZ1TR

NP600B5C-S02BE

NP400B4C-A01RU

NP400B5C-H01DE

NP600B4B-H01IT

NP600B5B-AZ3DE

NP600B5C-S02DE

NP400B4C-A01SE

NP400B5C-H02DE

NP600B4B-HC1DE

NP600B5B-HC1DE

NP600B5C-S02SE

NP400B4C-A01UK

NP400B5C-S01IT

NP600B4B-HC2DE

NP600B5B-HC2DE

NP600B5C-S03DE

NP400B4C-A02CN

NP400B5C-S01ZA

NP600B4B-S01CN

NP600B5B-HC3DE

NP400B4C-A02CO

NP400B5C-S02CH

NP600B4B-S01DE

NP600B5B-S01CN

NP400B4C-A02ES

NP400B5C-S03CN

NP600B4B-S01MX

NP600B5B-S01DE

NP400B4C-A02IT

NP400B5C-S04CN

NP600B4B-S01TR

NP600B5B-S01NL

- Utilitaire de détection : https://downloadcenter.intel.com/download/26755
- Si votre système est vulnérable, mettez à jour ME FW avec l’utilitaire de mise à jour.

● Comment mettre à jour ME dans les systèmes Samsung vPro et SMB

- Étape 1) Désactivez l’allocation automatique de ressource si un utilisateur ou responsable informatique l’a activée sur votre PC.
    Si l’allocation automatique de ressources n’est pas activée sur votre PC, passez directement à l’étape suivante.

- Étape 2) Téléchargez l’utilitaire de détection et installez-le.
    URL de l’utilitaire de détection : https://downloadcenter.intel.com/download/26755

- Étape 3) Exécutez Intel-SA-00075-GUI.exe
    Intel-SA-00075-GUI.exe nécessite .NET Framework.
    S’il n’est PAS installé sur votre ordinateur, installez-le, puis exécutez à nouveau l’utilitaire de détection.

- Étape 4) Vérifiez l’évaluation des risques.
    S’il est indiqué « Not Vulnerable » comme sur l’image ci-dessous, votre ordinateur est protégé.
    Vous ne devez pas mettre à jour ME F/W. Passez à l’étape 11
    
    S’il est indiqué « Vulnerable » comme sur l’image ci-dessous, votre ordinateur n’est PAS protégé.
    Vous devez mettre à jour ME F/W. Passez à l’étape 5
    

- Étape 5) Arrêtez LMS (Local Management Service)
    Comment arrêter LMS
    1. Exécutez cmd pour ouvrir DOS box.
    2. Entrez « sc config LMS start= disabled » et appuyez sur la touche Enter.
    
    3. Redémarrez l’ordinateur

- Étape 6) Téléchargez le pack de mises à jour ME de Samsung sur le lien ci-dessous.
    http://orcaservice.samsungmobile.com/filedownloader.aspx?Type=PATCH&filename=BASW-A1297A01.ZIP

- Étape 7) Extrayez le contenu du pack (BASW-A1297A01.ZIP) téléchargé, puis exécutez MeFirmwareUpdateHelper.exe
    Vous pouvez voir la version du micrologiciel Intel ME actuelle et à mettre à jour.
    Cliquez sur OK pour commencer la mise à jour.
    
    N’utilisez pas le PC tant que la mise à jour est en cours.
    

- Étape 8) Une fois la mise à jour terminée, le message suivant s’affiche.
    Cliquez sur OK pour éteindre l’ordinateur. Ensuite, rallumez votre ordinateur.
    

- Étape 9) Exécutez LMS
    Comment exécuter LMS
    1. Exécutez cmd pour ouvrir DOS box
    2. Entrez « sc config LMS start= auto » et appuyez sur la touche Enter
    
    3. Redémarrez l’ordinateur

- Étape 10) Activez l’allocation automatique de ressources si vous voulez utiliser la fonction vPro.
    Demandez à votre responsable informatique d’activer l’allocation automatique de ressources.

- Étape 11) Fin


- FAQ)
    #1. Vérifiez si l’utilitaire de détection Intel fonctionne.
    Il ne fonctionnera pas si .NET Framework n’est pas installé sur votre ordinateur
    

    #2. Si votre ordinateur n’est pas concerné par la mise à jour du micrologiciel, ou si celle-ci a déjà été effectuée, le message suivant s’affiche.
    Ce message s’affiche également si l’utilitaire de détection Intel ne parvient pas à déterminer le statut du micrologiciel ME.
    Vérifiez le statut « Vulnerable » ou « NOT Vulnerable » avec l’utilitaire de détection Intel.
    

    #3) Dans le cas des systèmes AMT (vPro) à allocation automatique de ressources, l’allocation automatique de ressources doit d’abord être désactivée.
    Ce message de MeFirmwareUpdateHelper.exe s’affiche si l’allocation automatique de ressources est activée sur votre ordinateur.