Informações de suporte para o Intel® Active Management Technology INTEL-SA-00709 e Intel® Standard Manageability informativo
Intel® Active Management Technology (Intel® AMT) e Intel® Standard Manageability informativos do INTEL-SA-00709
Conteúdo relacionado
Este artigo destina-se a especialistas em TI. Os usuários individuais devem obter orientações específicas dos fabricantes de seus sistemas.
Visão geral do CVE-2022-30601 e CVE-2022-30944
CVE-2022-30601 e CVE-2022-30944 podem ser expostos quando uma escolha de Intel® AMT e de Intel® Standard Manageability de implantação é feita para usar não-TLS (Transport Layer Security). As melhores práticas de segurança de implantação relacionadas a esses dois CVEs são discutidas nos documentos abaixo.
Recomendações para CVE-2022-30601 e CVE-2022-30944
A Intel recomenda que os usuários sigam as melhores práticas de segurança existentes e controles de segurança alternativos, incluindo: Habilitar e usar a Segurança da Camada de Transporte (TLS) para Intel® AMT e Intel® Standard Manageability. A Intel também recomenda que todos os Intel® AMT e Intel® Standard Manageability clientes migrem para as portas TLS. As futuras implementações de Intel® AMT e Intel® Standard Manageability não terão mais o TLS como uma opção. Para facilitar essa transição para clientes que podem estar usando portas não TLS atualmente, a Intel manterá o suporte para portas não TCP/IP não TLS (bem como TLS) em Intel® AMT e Intel® Standard Manageability até plataformas baseadas no processador Intel® Core™ da 12ª Geração. Apenas portas TLS serão suportadas em Intel® AMT e Intel® Standard Manageability nas plataformas após a 12ª Geração de processadores Intel® Core™ geração.
Detalhes adicionais para CVE-2022-30601
Intel® AMT e Intel® Standard Manageability são compatíveis com a autenticação básica e de digestão HTTP. Quando usada sem TLS, a senha no modo básico ou digestão é suscetível a interceptar e reproduzir as credenciais do Intel® AMT e Intel® Standard Manageability no firmware.
- Para usuários que receberam um sistema que não foi configurado usando Intel® EMA, a Intel recomenda seguir as etapas específicas necessárias para verificar se o TLS está habilitado (disponível aqui). Isso garantirá que o Intel® AMT e o Intel® Standard Manageability estejam configurados corretamente após o entrega do dispositivo.
- Intel® AMT e Intel® Standard Manageability configuração de suporte foi projetada para permitir a segurança TLS sem ter que ser desconfigurada e reconfigurada. Observe que as ferramentas de software que os clientes usam para configurar e usar Intel® AMT e Intel® Standard Manageability também devem suportar TLS.
- Intel® Endpoint Management Assistant (Intel® EMA) configura os dispositivos a usar TLS.
Detalhes adicionais para CVE-2022-30944
Intel® AMT e Intel® Standard Manageability são compatíveis com a autenticação básica e de digestão HTTP. Quando usados sem TLS, as cargas brutas de transações através da porta 16992 são expostas na memória do sistema operacional como texto simples, expondo assim as credenciais de Intel® AMT e Intel® Standard Manageability.
- Intel® AMT ou Intel® Standard Manageability é suscetível a informações recuperadas por meio de um usuário privilegiado poder acessar diretamente a senha de Intel® AMT ou Intel® Standard Manageability não criptografada na memória do sistema operacional.
- Para mitigar esse problema, Intel® AMT e Intel® Standard Manageability v14 ou software de gerenciamento remoto ou superior, como o Intel® EMA, são recomendados ao ativar Intel® AMT e Intel® Standard Manageability, pois usam a criptografia TLS para ativação e se comunicam com o Intel® AMT e Intel® Standard Manageability por meio da pilha de software do sistema operacional.
- Intel® AMT e Intel® Standard Manageability versões de firmware 11.8.x a 12.x não suportam TLS para ativação na banda.
- Ao adicionar usuários ou alterar credenciais de usuário de Intel® AMT ou Intel® Standard Manageability, use apenas um console remoto pelo Intel® AMT ou Intel® Standard Manageability com TLS.
Visão geral do CVE-2022-28697
O CVE-2022-28697 pode ser exposto quando a senha da BIOS não estiver configurada para proteger a configuração do Intel® AMT no Intel® Management Engine BIOS Extension (Intel® MEBx). As melhores práticas de segurança de senha do BIOS são discutidas no documento abaixo:
Recomendações para CVE-2022-28697
A Intel recomenda que os usuários sigam as práticas recomendadas de segurança existentes e controles de segurança alternativos, incluindo: Habilitar a proteção de senha do BIOS no Intel® Management Engine BIOS Extension (Intel® MEBX). Defina uma senha não padrão para Intel® AMT ou Intel® Standard Manageability imediatamente após o recebimento do sistema do fabricante do sistema.
Detalhes adicionais para CVE-2022-28697
Um usuário não autenticado com acesso físico à plataforma pode ser capaz de provisionar a AMT sem o conhecimento do usuário final.
Observe que as etapas abaixo são para referência e podem variar de acordo com o fabricante do sistema.
- Um usuário pode verificar se o Intel® AMT ou o Intel® Standard Manageability foi configurado acessando o MEBX durante a inicialização.
- Se o MEBX fosse usado para configurar Intel® AMT ou Intel® Standard Manageability, o nome de usuário e a senha padrão teriam que ser alterados para outro valor.
- Se um usuário não puder acessar o menu devido a uma senha desconhecida, Intel® AMT ou Intel® Standard Manageability teriam que ser redefinidos de fábrica para restaurar o nome de usuário e a senha padrão para garantir que os Intel® AMT ou Intel® Standard Manageability não estejam configurados. Entre em contato com o fabricante do sistema para saber como realizar essa reinicialização.
- Se um usuário altera a senha e faz o login, ele pode ir para o menu da configuração do Intel® AMT ou Intel® Standard Manageability e verificar se a opção "Ativar acesso à rede" está disponível.
- Se a opção do menu estiver presente, isso indica que as Intel® AMT ou Intel® Standard Manageability não estão configuradas.
- Se a opção do menu não estiver presente, Intel® AMT ou Intel® Standard Manageability foram configuradas nesse dispositivo.
- Intel® AMT ou Intel® Standard Manageability podem ser desconfigurados neste mesmo menu. Isso garantirá que Intel® AMT ou Intel® Standard Manageability estejam configuradas corretamente após o entrega do dispositivo.