Maggiore vulnerabilità dei privilegi Intel Manageability SKU

● Riepilogo degli argomenti

- È stato individuato un incremento della vulnerabilità dei privilegi nelle versioni dei firmware di Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), e Intel® Small Business Technology versioni 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 e 11.6 che consente ad un aggressore senza privilegi di ottenere il controllo delle funzioni di gestione fornite da questi prodotti. Tale vulnerabilità non sussiste tuttavia nei PC consumer Intel con firmware consumer, Server Intel che utilizzano Intel® Server Platform Services (Intel® SPS), o workstation Intel® Xeon® Processor E3 e Intel® Xeon® Processor E5 che usano firmware Intel® SPS.
- https://security-center.intel.com/advisory.aspx? intelid=INTEL-SA-00075&languageid=en-fr

● Linee guida alla salvaguardia

- Alcuni sistemi Samsung sono abilitati Intel® AMT e Intel® SBT. Verificare la vulnerabilità del proprio sistema.

● Elenco modelli Target

NP200B4C-A01MX

NP400B4C-EG1CN

NP400B5C-S05CN

NP600B4B-S02CN

NP600B5B-S01TR

NP200B4C-BB1BR

NP400B4C-S01CH

NP600B4B-A01CL

NP600B4B-S02MX

NP600B5B-S01UK

NP200B4C-EG1CN

NP400B4C-S01CN

NP600B4B-A01UK

NP600B4C-A01FR

NP600B5B-S01US

NP200B4C-S01CN

NP400B5C-A01FR

NP600B4B-A01US

NP600B4C-A01MX

NP600B5B-S02CN

NP200B5C-A01AE

NP400B5C-A01IT

NP600B4B-A02CH

NP600B4C-A01RU

NP600B5B-S02ES

NP200B5C-A01IN

NP400B5C-A01PL

NP600B4B-AA1IL

NP600B4C-A01US

NP600B5B-S02FR

NP200B5C-A02AE

NP400B5C-A01UK

NP600B4B-AD1BR

NP600B4C-AA1IL

NP600B5B-S02UK

NP200B5C-S01AE

NP400B5C-A01ZA

NP600B4B-AZ1BE

NP600B4C-BB1BR

NP600B5B-S03FR

NP400B4C-A01CO

NP400B5C-A02FR

NP600B4B-AZ1DE

NP600B4C-EG1CN

NP600B5B-S03UK

NP400B4C-A01DE

NP400B5C-A02IT

NP600B4B-AZ1ES

NP600B4C-S01CN

NP600B5C-H01DE

NP400B4C-A01ES

NP400B5C-A02SE

NP600B4B-AZ1FR

NP600B5B-A01UK

NP600B5C-S01BE

NP400B4C-A01FR

NP400B5C-A02UK

NP600B4B-AZ1RO

NP600B5B-AZ1DE

NP600B5C-S01CH

NP400B4C-A01IL

NP400B5C-A02ZA

NP600B4B-AZ1UK

NP600B5B-AZ1GR

NP600B5C-S01CN

NP400B4C-A01IT

NP400B5C-A03DE

NP600B4B-AZ1ZA

NP600B5B-AZ1ID

NP600B5C-S01SE

NP400B4C-A01MX

NP400B5C-A04DE

NP600B4B-AZ2DE

NP600B5B-AZ1PT

NP600B5C-S01UK

NP400B4C-A01PL

NP400B5C-FDCRU

NP600B4B-H01FR

NP600B5B-AZ1TR

NP600B5C-S02BE

NP400B4C-A01RU

NP400B5C-H01DE

NP600B4B-H01IT

NP600B5B-AZ3DE

NP600B5C-S02DE

NP400B4C-A01SE

NP400B5C-H02DE

NP600B4B-HC1DE

NP600B5B-HC1DE

NP600B5C-S02SE

NP400B4C-A01UK

NP400B5C-S01IT

NP600B4B-HC2DE

NP600B5B-HC2DE

NP600B5C-S03DE

NP400B4C-A02CN

NP400B5C-S01ZA

NP600B4B-S01CN

NP600B5B-HC3DE

NP400B4C-A02CO

NP400B5C-S02CH

NP600B4B-S01DE

NP600B5B-S01CN

NP400B4C-A02ES

NP400B5C-S03CN

NP600B4B-S01MX

NP600B5B-S01DE

NP400B4C-A02IT

NP400B5C-S04CN

NP600B4B-S01TR

NP600B5B-S01NL

- Strumento di individuazione : https://downloadcenter.intel.com/download/26755
- Se il vostro sistema è vulnerabile, si consiglia di aggiornare il FW ME usando lo strumento di aggiornamento.

● Come aggiornare ME nei sistemi Samsung vPro e SMB.

- Fase 1) Effettuare l'unprovisioning qualora l'utente o il IT manager abbia effettuato il provisioning al vostro PC.
    È possibile saltare questo passaggio e procedere alla fase successiva qualora al proprio PC non sia siato effettuato alcun provisioning.

- Fase 2) Effettuare il download dello strumento di rilevamento ed installarlo.
    HURL dello strumento di rilevamento : https://downloadcenter.intel.com/download/26755

- Fase 3) Eseguire il file Intel-SA-00075-GUI.exe
    Intel-SA-00075-GUI.exe richiede .NET Framework.
    Se nel Sistema NON è presente, installarlo ed eseguire lo strumento di nuovo.

- Fase 4) Controllare la Valutazione dei rischi.
    Se mostra “Not Vulnerable” come indicato sotto, il sistema è sicuro.
    Non è necessario aggiornare il firmware ME. Passare alla Fase 11.
    
    Se mostra “Vulnerable” come indicato sotto, il sistema NON è sicuro.
    È necessario aggiornare il firmware ME. Passare alla Fase 5.
    

- Fase 5) Fermare il LMS (Local Management Service)
    Come fermare il LMS
    1. Eseguire il cmd per accedere alla finestra DOS.
    2. Digitare ‘sc config LMS start= disabled’ e premere il tasto Enter.
    
    3. 3. Riavviare il sistema.

- Fase 6)Eseguire il download dello strumento Samsung ME update Package mediante il link indicato sotto.
    http://orcaservice.samsungmobile.com/filedownloader.aspx?Type=PATCH&filename=BASW-A1297A01.ZIP

- Fase 7) Decomprimere il pacchetto di aggiornamento ME (BASW-A1297A01.ZIP) scaricato in precedenza, ed eseguire il file MeFirmwareUpdateHelper.exe.
    È possibile visualizzare la versione corrente del firmware Intel ME firmware e da aggiornare.
    Selezionare OK, per iniziare l'aggiornamento.
    
    Non effettuare altre operazioni fino al termine del processo di aggiornamento.
    

- Fase 8) Al termine dell'aggiornamento, verrà visualizzato il seguente messaggio.
    Selezionare OK per effettuare lo spegnimento del sistema. Quindi riavviare il sistema.
    

- Fase 9) Eseguire il LMS
    Come eseguire il LMS
    1. Eseguire il cmd per accedere alla finestra DOS
    2. Digitare ‘sc config LMS start= auto’ e premere il tasto Enter.
    
    3. Riavviare il sistema.

- Fase 10) Effettuare il provisioning per usare la funzione vPro.
    Chiedere al proprio IT manager di impostare il provisioning.

- Fase 11)Fine


- FAQ)
    #1.Controllare il corretto funzionamento dello strumento di rilevamento Intel.
    Se .NET Framework non è installato nel sistema, esso non funzionerà.
    

    #2. Se il sistema non è il target di questo aggiornamento di firmware o l'aggiornamento è già stato completato, verrà visualizzato il seguente messaggio.
   Questo messaggio verrà visualizzato anche qualora lo strumento di rilevamento Intel non sia in grado di rilevare lo stato del firmware ME, controllare lo stato “Vulnerable” o “NOT Vulnerable” con lo strumento di discovery di rilevamento Intel.
    

    #3) Nei sistemi AMT(vPro) nei quali è stato effettuato il provisioning, è necessario effettuare prima il unprovisioning.
    Nei sistemi nei quali è stato effettuato il provisioning è possibile visualizzare questo messaggio da MeFirmwareUpdateHelper.exe.