如何更簡單的緩解英特爾的AMT漏洞（CVE-2017-5689）？

02-03

5月1日，英特爾（Intel）公司官方發布了一個嚴重漏洞，該漏洞主要存在英特爾管理引擎（ME)的主動管理（AMT）、伺服器管理組件（ISM）、以及英特爾小企業技術（SBT）中，攻擊者可以利用該漏洞對Intel產品系統的遠程控制進行提權。該漏洞影響極大，涉及2010年以來生產的所有包含遠程管理功能的英特爾晶元，以及搭載標準可管理(Intel Standard Manageability，簡稱ISM)和小企業技術（Intel Small Business Technology）固件的產品。目前英特爾官方已經發布了windows漏洞補丁，Linux的補丁馬上也會進行發布。

但令人遺憾的是，事實上只要你的伺服器開啟了AMT功能，那麼就必然存在該漏洞，但即使你關閉了這一功能，也仍然有可能會被本地漏洞所利用。

目前，對於這一漏洞的緩解措施更多的是希望用戶能夠去確保AMT已禁用，並且如果你是Windows管理員，並且在Windows中存在不受信任的用戶，那麼還應禁用或卸載LSM。那麼如何更簡單的完成這一操作呢？下面我們來說明一下：

1）下載Intel安裝和配置軟體（Intel SCS）並提取文件

2）打開管理員命令提示符並指向你在步驟1中解壓縮文件的位置：運行

`cd Configurator`n

3）在命令提示符下，運行

`ACUConfig.exe UnConfiguren

如果這時你收到了錯誤提示，請嘗試以下選項之一：

在沒有RCS集成的情況下，在ACM中取消配置系統：

「ACUConfig.exe UnConfigure / AdminPassword <password> / Full」n

使用RCS集成取消配置系統：

「ACUConfig.exe UnConfigure / RCSaddress <RCSaddress> / Full」n

4）這裡仍然是在命令提示符下，可以通過以下命令禁用和/或刪除LMS：

`sc config LMS start = disabled`n

`sc delete LMS`n

再運行

`sc qc LMS`n

這時就會顯示LMS.exe或FAIL的路徑。如果顯示了路徑，那麼請使用資源管理器將其刪除。如果失敗了也不要擔心。

5）重啟電腦。

6）檢查客戶端上的Intel ME Internet Assigned Names Authority（IANA）埠上是否仍然有一個套接字：16992,16993,16994,16995,623以及664 （即使英特爾MET GUI顯示英特爾ME是「未配置」，你也可以在開始驗證之前進行此操作）。

在命令提示符下（不需要提升），運行

`netstat -na | findstr「 <16993 > <16992 > <16994 > <16995 > <623 > <664 >」`n

7）英特爾AMT GUI現在應該會顯示「information unavailable on both remaining tabs」（在未經過上述步驟之前這裡可能會有3個或更多的選項）。

8）現在你可以刪除LMS.exe了。它通常位於「C： Program Files（x86） Intel Intel（R）Management Engine Components LMS」中。當然你也可以再進一步，使用「添加/刪除程序」卸載AMT GUI，不過以後你可能需要更多的時間來檢查Intel AMT是否仍然在禁用。

本文參考來源於Disabling Intel AMT on Windows (and a simpler CVE-2017-5689 Mitigation Guide)，如若轉載，請註明來源於嘶吼：t如何更簡單的緩解英特爾的AMT漏洞（CVE-2017-5689）？更多內容請關注「嘶吼專業版」——Pro4hou