Escalonamento de privilégios do mecanismo de gerenciamento Intel SKU

● Resumo do problema

- Há uma vulnerabilidade de escalonamento de privilégios do Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) e Intel® Small Business Technology, versões de firmware 6.x, 7.x, 8.x, 9.x, 10.x, 11.0, 11.5 e 11.6, que pode permitir que um atacante sem privilégios ganhe controle dos recursos de gerenciamento fornecidos por esses produtos. Essa vulnerabilidade não existe em computadores comerciais baseados em produtos da Intel com firmware comercial, servidores Intel utilizando Intel® Server Platform Services (Intel® SPS) ou Processador Intel® Xeon® E3 e estações de trabalho com Processador Intel® Xeon® E5 utilizando o firmware SPS da Intel®.
- https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

● Orientação sobre mitigação

- Alguns sistemas Samsung são habilitados com o Intel® AMT e Intel® SBT.
- Verifique se seu sistema está vulnerável.

● Lista de modelos alvo

NP200B4C-A01MX

NP400B4C-EG1CN

NP400B5C-S05CN

NP600B4B-S02CN

NP600B5B-S01TR

NP200B4C-BB1BR

NP400B4C-S01CH

NP600B4B-A01CL

NP600B4B-S02MX

NP600B5B-S01UK

NP200B4C-EG1CN

NP400B4C-S01CN

NP600B4B-A01UK

NP600B4C-A01FR

NP600B5B-S01US

NP200B4C-S01CN

NP400B5C-A01FR

NP600B4B-A01US

NP600B4C-A01MX

NP600B5B-S02CN

NP200B5C-A01AE

NP400B5C-A01IT

NP600B4B-A02CH

NP600B4C-A01RU

NP600B5B-S02ES

NP200B5C-A01IN

NP400B5C-A01PL

NP600B4B-AA1IL

NP600B4C-A01US

NP600B5B-S02FR

NP200B5C-A02AE

NP400B5C-A01UK

NP600B4B-AD1BR

NP600B4C-AA1IL

NP600B5B-S02UK

NP200B5C-S01AE

NP400B5C-A01ZA

NP600B4B-AZ1BE

NP600B4C-BB1BR

NP600B5B-S03FR

NP400B4C-A01CO

NP400B5C-A02FR

NP600B4B-AZ1DE

NP600B4C-EG1CN

NP600B5B-S03UK

NP400B4C-A01DE

NP400B5C-A02IT

NP600B4B-AZ1ES

NP600B4C-S01CN

NP600B5C-H01DE

NP400B4C-A01ES

NP400B5C-A02SE

NP600B4B-AZ1FR

NP600B5B-A01UK

NP600B5C-S01BE

NP400B4C-A01FR

NP400B5C-A02UK

NP600B4B-AZ1RO

NP600B5B-AZ1DE

NP600B5C-S01CH

NP400B4C-A01IL

NP400B5C-A02ZA

NP600B4B-AZ1UK

NP600B5B-AZ1GR

NP600B5C-S01CN

NP400B4C-A01IT

NP400B5C-A03DE

NP600B4B-AZ1ZA

NP600B5B-AZ1ID

NP600B5C-S01SE

NP400B4C-A01MX

NP400B5C-A04DE

NP600B4B-AZ2DE

NP600B5B-AZ1PT

NP600B5C-S01UK

NP400B4C-A01PL

NP400B5C-FDCRU

NP600B4B-H01FR

NP600B5B-AZ1TR

NP600B5C-S02BE

NP400B4C-A01RU

NP400B5C-H01DE

NP600B4B-H01IT

NP600B5B-AZ3DE

NP600B5C-S02DE

NP400B4C-A01SE

NP400B5C-H02DE

NP600B4B-HC1DE

NP600B5B-HC1DE

NP600B5C-S02SE

NP400B4C-A01UK

NP400B5C-S01IT

NP600B4B-HC2DE

NP600B5B-HC2DE

NP600B5C-S03DE

NP400B4C-A02CN

NP400B5C-S01ZA

NP600B4B-S01CN

NP600B5B-HC3DE

NP400B4C-A02CO

NP400B5C-S02CH

NP600B4B-S01DE

NP600B5B-S01CN

NP400B4C-A02ES

NP400B5C-S03CN

NP600B4B-S01MX

NP600B5B-S01DE

NP400B4C-A02IT

NP400B5C-S04CN

NP600B4B-S01TR

NP600B5B-S01NL

- Ferramenta Discovery : https://downloadcenter.intel.com/download/26755
- Se o seu sistema está vulnerável, atualize o ME FW usando a ferramenta de atualização.

● Se o seu sistema está vulnerável, atualize o ME FW usando a ferramenta de atualização.

- Etapa 1) Cancele o provisionamento se um usuário ou gerente de TI aplicou um provisionamento ao seu computador.
    Pode ignorar essa etapa e ir para a próxima se o provisionamento não está aplicado em seu computador.

- Etapa 2) Faça o download e instale a ferramenta Discovery.
    URL da ferramenta Discover : https://downloadcenter.intel.com/download/26755

- Etapa 3)Execute o Intel-SA-00075-GUI.exe
    Intel-SA-00075-GUI.exe requer .NET Framework.
    Se o sistema NÃO o tem, instale-o e execute a ferramenta Discover novamente.

- Etapa 4) Verifique a avaliação do risco.
    Se mostrar “Não vulnerável” como abaixo, o sistema está seguro.
    Não é necessário atualizar o ME F/W. Vá para a Etapa 11.
    Janela mostrando não vulnerável
    Se mostrar “Vulnerável” como abaixo, o sistema NÃO está seguro.
    É necessário atualizar o ME F/W. Vá para a Etapa 5.
    Janela mostrando vulnerável><br>
							<br>
							- <b>Etapa 5)</b> Pare o LMS (Serviço de gerenciamento local)<br>
							    Como parar o LMS<br>
							    1. Execute o comando para abrir a janela DOS.<br>
							    2. Insira “sc config LMS start= disabled” e, em seguida, clique na tecla Enter.<br>
							    <img src=
    3. Reinicie o sistema.

- Etapa 6) Faça o download da ferramenta de pacote de atualização Samsung ME através da URL abaixo.
    http://orcaservice.samsungmobile.com/filedownloader.aspx?Type=PATCH&filename=BASW-A1297A01.ZIP

- Etapa 7) Descompacte o pacote de atualização ME (BASW-A1297A01.ZIP) baixado,e, em seguida, execute MeFirmwareUpdateHelper.exe
    É possível visualizar a versão atual do firmware Intel ME e a que será atualizada.
    Selecione OK e, em seguida, a atualização começará.
    janela me fw update
    Não toque no computador enquanto a atualização está em andamento.
    janela prompt não interromper a instalção

- Etapa 8) Quando a atualização concluir, a seguinte mensagem será exibida.
    Selecione OK e, em seguida, o sistema será desligado. Após isso, ligue o sistema.
    janela me fw update

- Etapa 9) Execute o LMS
    Execute o LMS
    1. Execute o comando para abrir a janela DOS.
    2. Insira “sc config LMS start= auto” e, em seguida, clique na tecla Enter.
    janela do prompt com os comandos acima
    3. Reinicie o sistema.

- Etapa 10) Faça o provisionamento se deseja usar a função vPro.
    Peça ao seu gerente de TI para definir o provisionamento.

- Etapa 11) Fim


- Perguntas frequentes)
    #1. Verifique se a ferramenta Discovery funciona corretamente.
    Se .NET Framework não está instalado no sistema, ela não funcionará.
    janela me fw update

    #2. Se o sistema não é o alvo desta atualização de firmware ou a atualização já está concluída,a mensagem a seguir será exibida.
    Esta mensagem será exibida também se a ferramenta Discovery da Intel não conseguir obter o estado do firmware ME,verifique o estado “Vulnerável” ou “NÃO vulnerável” com a ferramenta Discovery da Intel.
    janela me fw update

    #3) No caso de um sistema provisionado com AMT(vPro), é necessário cancelar primeiro o provisionamento.
    É possível ver esta mensagem a partir de MeFirmwareUpdateHelper.exe no sistema provisionado.
    janela me fw update