Bu konuda gördüğüm en net yayın Matthew Garrett’in (yorumlar da dahil).
Matthew şimdi sisteminizi yerel olarak kontrol etmek için bir araç yayımladı : kurun, çalıştırın
sudo ./mei-amt-check
AMT'nin etkinleştirilip etkinleştirilmediğini ve tedarik edilip edilmediğini ve ürün yazılımı sürümlerini (aşağıya bakınız) bildirir. README fazla ayrıntı vardır.
Ağınızı potansiyel olarak savunmasız sistemler için taramak için, 623, 624 ve 16992 ila 16993 arasındaki bağlantı noktalarını (Intel'in kendi azaltma belgesinde açıklandığı şekilde) tarayın ; Örneğin
nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24
192.168.1 / 24 ağını tarayacak ve cevap veren tüm ana bilgisayarların durumunu bildirecektir. 623 numaralı bağlantı noktasına bağlanabilmek yanlış bir pozitif olabilir (diğer IPMI sistemleri bu bağlantı noktasını kullanır), ancak 16992'den 16995'e kadar olan herhangi bir açık bağlantı noktası etkin AMT'nin çok iyi bir göstergesidir (en azından uygun şekilde yanıt verirse: AMT ile 16992 ve 16993’te bir HTTP yanıtı, ikincisi TLS ile).
16992 veya 16993 numaralı bağlantı noktalarında yanıtlar görürseniz, bunlara bağlanmak ve /
HTTP kullanarak istemek Server
, AMT'nin etkin olduğu sistemlerde “Intel (R) Etkin Yönetim Teknolojisi” içeren bir hatla yanıt verecektir ; Aynı satır, kullanımda olan AMT donanım yazılımının versiyonunu da içerecektir; bu da savunmasız olup olmadığını belirlemek için Intel'in tavsiyesinde verilen listeyle karşılaştırılabilir .
Bkz CerberusSec cevabı yukarıdaki otomatik hale bir komut dosyası bir bağlantı için.
Bu sorunu “doğru bir şekilde” düzeltmenin iki yolu vardır:
- sistem üreticiniz bir güncelleme sağladığında (hiç) cihaz yazılımını yükseltin;
- AMT sağlayan ağ bağlantı noktasını, sisteminizde AMT özellikli olmayan bir ağ arabirimi kullanarak veya bir USB adaptörü kullanarak (i210 ağ bağlantı noktalarına sahip C226 Xeon E3 sistemleri gibi birçok AMT iş istasyonunda yalnızca bir AMT yetenekli ağ arayüzü - geri kalanlar güvenlidir; AMT'nin wi-fi üzerinden çalışabileceğini, en azından Windows'ta çalışabileceğini, bu nedenle yerleşik wi-fi kullanımının da tehlikeye girebileceğini unutmayın).
Bu seçeneklerin hiçbiri mevcut değilse, azaltma bölgesinde bulunuyorsunuz. AMT özellikli sisteminiz hiçbir zaman AMT için sağlanmadıysa, makul ölçüde güvende olursunuz; AMT'nin bu durumda etkinleştirilmesi görünüşte yalnızca yerel olarak yapılabilir ve söyleyebildiğim kadarıyla sisteminizin donanım yazılımı veya Windows yazılımı kullanılmasını gerektirir. AMT etkinleştirildiyse, devre dışı bırakmak için bellenimi yeniden başlatabilir ve kullanabilirsiniz ( CtrlPAMT mesajı önyükleme sırasında görüntülendiğinde basın ).
Temel olarak, ayrıcalık güvenlik açığı oldukça pis olsa da, çoğu Intel sisteminin gerçekten etkilenmediği görülüyor. Linux veya başka bir Unix benzeri işletim sistemi çalıştıran kendi sistemleriniz için, yükseltme, AMT'yi ilk etapta etkinleştirmek için muhtemelen sisteme fiziksel erişim gerektirir. (Windows başka bir hikaye.) Rui F Ribeiro'nun belirttiği gibi, birden fazla ağ arayüzüne sahip sistemlerde, AMT özellikli arayüzleri herhangi bir yönetim arayüzüne (IPMI özellikli veya ana bilgisayar arayüzü gibi) davrandığınız gibi kullanmalısınız. Bir VM hipervizörü için) ve bunu idari bir ağda izole edin (fiziksel veya VLAN). Sen olamaz : kendini korumak için bir dizi güvenmek iptables
vb AMT işletim sistemi bulmadan paketleri görür (ve kendisine AMT paketleri tutar) nedeniyle, burada etkisizdir.
VM'ler sorunları karmaşıklaştırabilir, ancak yalnızca AMT'yi karıştırabilir ve böylece AMT etkinse kafa karıştırıcı tarama sonuçları üretebilir. amt-howto(7)
AMT'nin DHCP üzerinden bir DomU'ya verilen adresi kullandığı Xen sistemlerinin örneğini verir, eğer varsa, tarama DomU’da değil, DomU’da aktif AMT’yi gösterir.