Intel 可管理性 SKU 权限提升

● 问题摘要

- 这是存在于 Intel® Active Management Technology (AMT)、Intel® Standard Manageability (ISM) 和 Intel® Small Business Technology 版本的 6.x、7.x、8.x、9.x、10.x、11.0、11.5 以及 11.6 版固件中的权限提升漏洞,此漏洞可使未获授权的攻击者控制这些产品提供的可管理性功能。具有消费者固件的 Intel 消费者 PC、使用 Intel® Server Platform Services (Intel® SPS) 的 Intel 服务器,或使用 Intel® SPS 固件的 Intel® Xeon® 处理器 E3 和 Intel® Xeon® 处理器 E5 工作站不存此漏洞。
- https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

● 缓解指导

- 某些 Samsung 系统启用了 Intel® AMT 和 Intel® SBT
- 请检查您的系统是否易受攻击。

● 目标型号列表

NP200B4C-A01MX

NP400B4C-EG1CN

NP400B5C-S05CN

NP600B4B-S02CN

NP600B5B-S01TR

NP200B4C-BB1BR

NP400B4C-S01CH

NP600B4B-A01CL

NP600B4B-S02MX

NP600B5B-S01UK

NP200B4C-EG1CN

NP400B4C-S01CN

NP600B4B-A01UK

NP600B4C-A01FR

NP600B5B-S01US

NP200B4C-S01CN

NP400B5C-A01FR

NP600B4B-A01US

NP600B4C-A01MX

NP600B5B-S02CN

NP200B5C-A01AE

NP400B5C-A01IT

NP600B4B-A02CH

NP600B4C-A01RU

NP600B5B-S02ES

NP200B5C-A01IN

NP400B5C-A01PL

NP600B4B-AA1IL

NP600B4C-A01US

NP600B5B-S02FR

NP200B5C-A02AE

NP400B5C-A01UK

NP600B4B-AD1BR

NP600B4C-AA1IL

NP600B5B-S02UK

NP200B5C-S01AE

NP400B5C-A01ZA

NP600B4B-AZ1BE

NP600B4C-BB1BR

NP600B5B-S03FR

NP400B4C-A01CO

NP400B5C-A02FR

NP600B4B-AZ1DE

NP600B4C-EG1CN

NP600B5B-S03UK

NP400B4C-A01DE

NP400B5C-A02IT

NP600B4B-AZ1ES

NP600B4C-S01CN

NP600B5C-H01DE

NP400B4C-A01ES

NP400B5C-A02SE

NP600B4B-AZ1FR

NP600B5B-A01UK

NP600B5C-S01BE

NP400B4C-A01FR

NP400B5C-A02UK

NP600B4B-AZ1RO

NP600B5B-AZ1DE

NP600B5C-S01CH

NP400B4C-A01IL

NP400B5C-A02ZA

NP600B4B-AZ1UK

NP600B5B-AZ1GR

NP600B5C-S01CN

NP400B4C-A01IT

NP400B5C-A03DE

NP600B4B-AZ1ZA

NP600B5B-AZ1ID

NP600B5C-S01SE

NP400B4C-A01MX

NP400B5C-A04DE

NP600B4B-AZ2DE

NP600B5B-AZ1PT

NP600B5C-S01UK

NP400B4C-A01PL

NP400B5C-FDCRU

NP600B4B-H01FR

NP600B5B-AZ1TR

NP600B5C-S02BE

NP400B4C-A01RU

NP400B5C-H01DE

NP600B4B-H01IT

NP600B5B-AZ3DE

NP600B5C-S02DE

NP400B4C-A01SE

NP400B5C-H02DE

NP600B4B-HC1DE

NP600B5B-HC1DE

NP600B5C-S02SE

NP400B4C-A01UK

NP400B5C-S01IT

NP600B4B-HC2DE

NP600B5B-HC2DE

NP600B5C-S03DE

NP400B4C-A02CN

NP400B5C-S01ZA

NP600B4B-S01CN

NP600B5B-HC3DE

NP400B4C-A02CO

NP400B5C-S02CH

NP600B4B-S01DE

NP600B5B-S01CN

NP400B4C-A02ES

NP400B5C-S03CN

NP600B4B-S01MX

NP600B5B-S01DE

NP400B4C-A02IT

NP400B5C-S04CN

NP600B4B-S01TR

NP600B5B-S01NL

- 检测工具 : https://downloadcenter.intel.com/download/26755
- 如果您的系统易受攻击,请使用更新工具更新 ME FW。

● 如何在 Samsung vPro 和 SMB 系统中更新 ME:

- 步骤 1) 如果用户或 IT 经理已向您的 PC 应用设置,则取消设置。
    如果未向您的 PC 应用设置,则可跳过此步骤并进行到下一步。

- 步骤 2) 下载检测工具并安装。
    检测工具地址 : https://downloadcenter.intel.com/download/26755

- 步骤 3) 运行 Intel-SA-00075-GUI.exe
    Intel-SA-00075-GUI.exe 需要安装 .NET Framework。
    如果系统尚未安装,请安装并重新运行检测工具。

- 步骤 4) 检查风险评估。
    如果显示如下的“Not Vulnerable”(不易受到攻击),则系统是安全的。
    您不必更新 ME 固件,请转到步骤 11。
    
    如果显示如下的“Vulnerable”(易受到攻击),则系统是不安全的。
    您必须更新 ME 固件,请转到步骤 5。
    

- 步骤 5) 停止 LMS(本地管理服务)
    如何停止 LMS
    1. 执行 cmd 以打开 DOS 对话框。
    2. 输入 ‘sc config LMS start= disabled’ 并单击 Enter 键。
    
    3. 重新启动系统。

- 步骤 6) 从以下地址下载 Samsung ME 更新工具包。
    http://orcaservice.samsungmobile.com/filedownloader.aspx?Type=PATCH&filename=BASW-A1297A01.ZIP

- 步骤 7) 解压缩下载的 ME 更新包 (BASW-A1297A01.ZIP), 然后运行 MeFirmwareUpdateHelper.exe
    您可以看到当前的和要更新的 Intel ME 固件版本。
    选择 OK(确定),然后将开始更新。
    
    在更新期间不要触碰 PC。
    

- 步骤 8) 更新完成时,将显示以下消息。
    选择 OK(确定),然后系统将关闭。随后打开系统。
    

- 步骤 9) 运行 LMS
    如何运行 LMS
    1. 执行 cmd 以打开 DOS 对话框。
    2. 输入 ‘sc config LMS start= auto’ 并单击 Enter 键。
    
    3. 重新启动系统。

- 步骤 10) 如果您要使用 vPro 功能,请进行设置。
    咨询您的 IT 经理如何进行设置。

- 步骤 11) 结束


- 常见问题解答
    #1. 请检查 Intel 检测工具是否正常工作。
    如果系统上未安装 .NET Framework,它将无法工作。
    

    #2. 如果此固件更新不适用于此系统或更新已完成,将显示以下消息。
    如果 Intel 检测工具无法获得 ME 固件状态,则会显示此消息,请使用 Intel 检测工具检查“Vulnerable”(易受到攻击)或 “NOT Vulnerable”(不易受到攻击)状态。
    

    #3) 如果是设置了 AMT(vPro) 的系统,则要先取消设置。
    您会在设置的系统上看到 MeFirmwareUpdateHelper.exe 发送的这个消息。