英特尔，最新AMT漏洞了解一下

虽然过去咨询安全研究人员也曾发现一些严重的 AMT 漏洞，但最近发现的漏洞破坏力特别大。黑客一行程序代码都不用打，只需不到半分钟的时间就可以用漏洞控制整个设备，• 影响大多数使用 Intel CPU 的笔记本电脑……

仿佛是嫌Meltdown/Spectre两个漏洞闹得还不够大，芬兰信息安全公司F-Secure的研究员Harry Sintonen又发现了Intel CPU处理器中的一个新漏洞，影响数以百万计的企业级笔记本。

只需30秒，你的电脑就听别人的话了

新的安全漏洞存在于Intel AMT主动管理技术（Active Management Technology）中，黑客可利用不安全和误导性的预设行为，在本地端绕过正规登陆流程完全控制用户设备，30秒内就能完成入侵。

尽管想利用这个漏洞，必须亲自拿到受害者的笔记本，但是Sintonen仍然将其列为高危级别，因为黑客只需不到半分钟的时间就可以用漏洞控制整个设备，然后接入同一网络，实现远程控制。

更进一步地，即便你设置了BIOS密码，开启了BitLocker、TPM锁定功能，或者安装了杀毒软件，都无法防御。

黑客可以借助Intel管理引擎BIOS扩展(MEBx)，直接使用admin账户和默认密码登陆，从而拿到系统完全控制权限，窃取数据、植入木马病毒什么的都可以为所欲为。

AMT的存在本来是为了方便群组管理

AMT 是商用计算机的 Intel 芯片组功能，让企业 IT 管理者能妥善管理广大的设备，方便远程管理、维修组织内的个人计算机、工作站、服务器。

虽然过去咨询安全研究人员也曾发现一些严重的 AMT 漏洞，但最近发现的漏洞破坏力特别大：

• 一行程序代码都不用打就可以用。 • 影响大多数使用 Intel CPU 的笔记本电脑。 • 可使攻击者远程控制受影响的系统以供日后使用。

F-secure研究人员演示漏洞攻击视频：https://www.youtube.com/watch?time_continue=3&v=aSYlzgVacmw

邪恶女仆攻击

以下是如何利用这个 AMT 漏洞攻击的方法，目标是一台受密码保护的计算机（系统登入密码和 BIOS 密码）：

为了触发这个漏洞，攻击者需要以物理操作方式对目标计算机开机或重开机。

在开机的启动程序（booting process）中按 CTRL-P，进入 Intel 管理引擎 BIOS 延伸模块（Intel Management Engine BIOS Extension ，缩写 MEBx）画面，正如示范影片的动作。

MEBx 的默认密码是“admin”，大多数公司笔记本电脑很可能保持不变。

登录后，攻击者可更改默认密码，并启用远程遥控。

关闭 AMT“User opt-in”。

这样一来，受害者在计算机的任何操作，就永远翻不出攻击者的手掌心了。

这话怎么说呢？因为在步骤四里，AMT 密码修改以后，用户日后将永远无法再掌控这台笔电 AMT 的行为，而且不可逆；步骤五的 User opt-in 是笔电用户的一次性密码，本来的设计是 IT 管理人员要启动远程遥控时，需要取得计算机用户的同意──用户需要用电话传达这个一次性密码，管理人员才能开通远程遥控。

然而现在这个功能可被关掉（缘由是方便企业 IT 管理人员远程维护），受害者将毫不知情被远程监控，这也不是你重装系统可解决，因为漏洞在比操作系统更底层的主板芯片里。

虽然如此，这不过就是另一个本地端漏洞嘛，又不是大家关注的网络资安漏洞，然而 Sintonen 进一步说明这个漏洞的危害严重度：“攻击者辨识、确认好要攻击的目标后，他们就可在机场、咖啡馆、饭店大厅等公开场所进行‘邪恶女仆’式攻击。”

电影里常常出现的桥段

什么是“邪恶女仆”（evil maid’scenario）攻击呢？ 基本上，就是谍报电影常出现的桥段──比如当目标人物下榻特定旅馆时，情报员贿赂饭店的女服务生，趁目标人物离开饭店时进入房间，翻找对方的行李甚至破解对方的锁来找到高价值的情报，然后赶在对方回来前恢复表面原状，而目标人物浑然不知机密已外泄，抑或破坏就在眼皮底下发生。所谓的“邪恶女仆”，就是靠你不会起疑心的人来做案。

电影《慕尼黑》就上演过这种桥段，以色列情报员乔装成不起眼的电信局人员，渗透进目标人物、一位阿拉伯学者家中帮忙“更换电话”，而被置换的电话里藏有遥控炸弹，得以暗杀对方。

▲ 电影《慕尼黑》画面。

读者若对详细剧情有兴趣就请自行参考电影。当年以色列情报员可是辛苦乔装私闯民宅，然后还要大费周章一番才达成任务，整个过程风险极大，需要的人数也很多，然而现在 AMT 漏洞可就让“办事”轻松多了。

在公开场所，只需要两名攻击者就可以得逞：由一名攻击者分散受害者的注意力，把对方带离开计算机，另一名攻击者只要短暂接触受害者的笔记本电脑，不用超过 1 分钟就可以开通 AMT 远程遥控，此后你的计算机再也不是你的计算机，而是坏人监控你的利器，甚至是攻击你公司 IT 设备网络的起点。

F-Secure 已透过美国计算机网络危机处理中心 CERT ，通知 Intel 和所有相关设备制造商这个安全问题，并迫切要求他们紧急处理。同时，F-Secure 也呼吁任何企业团体或组织用户和 IT 管理员，应该把计算机 AMT 默认密码更改为强密码，或干脆禁用 AMT，且不要让自己的笔记本电脑或台式机处于无人看管的情况。

当然如果你曾有如此印象：“只不过离开计算机一下，回来时计算机画面跟离开前有点不一样（可能被重开机了）”，那你应该要检查一下 BIOS AMT 相关设定，也许你本来根本不知道自己计算机有 AMT 功能，也根本没使用过，然而前述 AMT 默认密码输入却无效，无法调整设定，那么你该心里有数快做必要处置了。

F-Secure 高级安全研究员 Harry Sintonen 表示，其实他们 2017 年 7 月就发现这个问题，他说：“这个攻击几乎看似简单，但有令人难以置信的破坏潜力。实际上，即使最严密的安全措施，也可让攻击者在本地端完全控制受害者工作用的笔记本电脑。”

Intel尚未就此作出回应。