Intel Active Management Technology (AMT) är en del av Intel Management Engine och finns endast i datorer med Intels vPro-teknologi. Tjänsten är till för att ge systemadministratörer åtkomst till funktioner i hårdvaran över ett nätverk för att exempelvis konfigurera eller fjärrstyra av datorer i ett företagsnätverk. Detta är oberoende av installerat operativsystem eftersom tjänsten finns inbyggd i hårdvaran. Det enklaste sättet att se om en dator har vPro-stöd är att titta på det lilla klistermärket som visar vilken Intel-processor som sitter i datorn.

Bristen som upptäckts beror på att enheter har levereras med samma fördefinerade lösenord. Om lösenordet inte har ändrats efter leverans så kan det vara möjligt för en angripare att konfigurera om PC:n med ett preparerat USB-minne för att sedan möjliggöra extern åtkomst till datorn via nätverk.

Om enheten är sårbar så hälper inte följande åtgärder:

• AMT är avaktiverat i BIOS
• Bootning från USB-enheter är avaktiverat i BIOS
• BIOS-lösenord används

För att säkerställa att bristen inte kan utnyttjas på en sårbar dator så skall man byta AMT-lösenord och om AMT inte används så bör man sedan avaktivera funktionen i BIOS.

Konfiguration av AMT i BIOS skiljer sig mellan olika datortillverkare så det är inte säkert att man är sårbar även om datorn har vPro-stöd. Vi har inte fått någon information om vilka versioner av Intel AMT som är sårbara och inte heller vilka datorleverantörer eller produkter det gäller.

Det går att detektera AMT-kommunikation i ett nätverk (tänk på trafik AMT trafik till en dator inte kan detekteras av datorns egna operativsystem eftersom den når fram dit).

AMT använder följande portar:

• 16992 - 16995: Intel(R) AMT HTTP(S) // Intel(R) AMT Redirection/TCP / TLS
• 623: ASF Remote Management and Control Protocol (ASF-RMCP)
• 664: DMTF out-of-band secure web services management protocol // ASF Secure Remote Management and Control Protocol (ASF-RMCP)
• 5900: Standard VNC Port

Källa: CERT-SE