Intel Active Management Technology MEBx 访问控制被绕过

Lenovo 安全公告：LEN-19568

潜在影响：

远程访问和控制

严重性：关键

影响范围：全行业

摘要描述：

Intel 向所有系统制造商发布了关于 Intel vPro Active Management Technology（AMT）的公告。在 Intel AMT 缺省配置中，Management Engine BIOS Extension（MEBx）密码的安全性较弱。

应采取哪些措施进行自我保护：

方案 1：设置较强的开机密码来保护对 AMT MEBx 的访问。

Intel 已要求进行 BIOS 增强，由此提供以下两个额外的缓解方案。请更新到以下“产品影响”部分中针对您的产品型号列出的 BIOS 版本（或更高版本）。

方案 2：永久禁用 AMT；在 ThinkPad 系统上通过“Intel (R) AMT 控制”BIOS 设置可进行此配置。其他系统上需要通过“Intel (R) Manageability 控制”BIOS 设置进行配置。

方案 3：执行以下所有步骤来保护对 AMT MEBx 的访问：

1. 设置较强的 AMT MEBx 密码，或在 BIOS 设置中禁用 AMT [1]


2. 设置较强的 BIOS 超级用户密码


3. 设置“锁定 UEFI BIOS 设置”来保护 AMT 启用/禁用设置（仅限 ThinkPad）

[1]注：某些 ThinkStation 型号不提供禁用 AMT 的设置。在这些型号上，必须 将缺省 AMT 密码“admin”替换为较强的新密码以防止未经授权的 MEBx 访问。

产品影响：

ThinkPad – 即将更新

台式机 – 不需要BIOS更新

台式一体机- 不需要BIOS更新

IdeaPad笔记本 – 不适用

System x -Lenovo- 不适用

System x (IBM)- 不适用

ThinkServer- 研发中

ThinkStation- 不需要BIOS更新

其他信息和参考资料：

• https://www.intel.com/content/www/us/en/support/articles/000020917/software/manageability-products.html


• https://www.intel.com/content/dam/support/us/en/documents/technologies/Intel_AMT_Security_Best_Practices_QA.pdf


• https://sintonen.fi/advisories/intel-active-management-technology-mebx-bypass.txt


• https://thinkdeploy.blogspot.com/2016/08/the-think-bios-config-tool.html