雖然過去咨詢安全研究人員也曾發現一些嚴重的 AMT 漏洞，但最近發現的漏洞破壞力特別大。黑客一行程序代碼都不用打，只需不到半分鐘的時間就可以用漏洞控制整個設備，? 影響大多數使用 Intel CPU 的筆記本電腦……

仿佛是嫌Meltdown/Spectre兩個漏洞鬧得還不夠大，芬蘭信息安全公司F-Secure的研究員Harry Sintonen又發現了Intel CPU處理器中的一個新漏洞，影響數以百萬計的企業級筆記本。

只需30秒，你的電腦就聽別人的話了

新的安全漏洞存在于Intel AMT主動管理技術（Active Management Technology）中，黑客可利用不安全和誤導性的預設行為，在本地端繞過正規登陸流程完全控制用戶設備，30秒內就能完成入侵。

盡管想利用這個漏洞，必須親自拿到受害者的筆記本，但是Sintonen仍然將其列為高危級別，因為黑客只需不到半分鐘的時間就可以用漏洞控制整個設備，然后接入同一網絡，實現遠程控制。

更進一步地，即便你設置了BIOS密碼，開啟了BitLocker、TPM鎖定功能，或者安裝了殺毒軟件，都無法防御。

黑客可以借助Intel管理引擎BIOS擴展(MEBx)，直接使用admin賬戶和默認密碼登陸，從而拿到系統完全控制權限，竊取數據、植入木馬病毒什么的都可以為所欲為。

AMT的存在本來是為了方便群組管理

AMT 是商用計算機的 Intel 芯片組功能，讓企業 IT 管理者能妥善管理廣大的設備，方便遠程管理、維修組織內的個人計算機、工作站、服務器。

雖然過去咨詢安全研究人員也曾發現一些嚴重的 AMT 漏洞，但最近發現的漏洞破壞力特別大：

? 一行程序代碼都不用打就可以用。 ? 影響大多數使用 Intel CPU 的筆記本電腦。 ? 可使攻擊者遠程控制受影響的系統以供日后使用。

F-secure研究人員演示漏洞攻擊視頻：https://www.youtube.com/watch?time_continue=3&v=aSYlzgVacmw

邪惡女仆攻擊

以下是如何利用這個 AMT 漏洞攻擊的方法，目標是一臺受密碼保護的計算機（系統登入密碼和 BIOS 密碼）：

為了觸發這個漏洞，攻擊者需要以物理操作方式對目標計算機開機或重開機。

在開機的啟動程序（booting process）中按 CTRL-P，進入 Intel 管理引擎 BIOS 延伸模塊（Intel Management Engine BIOS Extension ，縮寫 MEBx）畫面，正如示范影片的動作。

MEBx 的默認密碼是“admin”，大多數公司筆記本電腦很可能保持不變。

登錄后，攻擊者可更改默認密碼，并啟用遠程遙控。

關閉 AMT“User opt-in”。

這樣一來，受害者在計算機的任何操作，就永遠翻不出攻擊者的手掌心了。

這話怎么說呢？因為在步驟四里，AMT 密碼修改以后，用戶日后將永遠無法再掌控這臺筆電 AMT 的行為，而且不可逆；步驟五的 User opt-in 是筆電用戶的一次性密碼，本來的設計是 IT 管理人員要啟動遠程遙控時，需要取得計算機用戶的同意──用戶需要用電話傳達這個一次性密碼，管理人員才能開通遠程遙控。

然而現在這個功能可被關掉（緣由是方便企業 IT 管理人員遠程維護），受害者將毫不知情被遠程監控，這也不是你重裝系統可解決，因為漏洞在比操作系統更底層的主板芯片里。

雖然如此，這不過就是另一個本地端漏洞嘛，又不是大家關注的網絡資安漏洞，然而 Sintonen 進一步說明這個漏洞的危害嚴重度：“攻擊者辨識、確認好要攻擊的目標后，他們就可在機場、咖啡館、飯店大廳等公開場所進行‘邪惡女仆’式攻擊。”

電影里常常出現的橋段

什么是“邪惡女仆”（evil maid’scenario）攻擊呢？ 基本上，就是諜報電影常出現的橋段──比如當目標人物下榻特定旅館時，情報員賄賂飯店的女服務生，趁目標人物離開飯店時進入房間，翻找對方的行李甚至破解對方的鎖來找到高價值的情報，然后趕在對方回來前恢復表面原狀，而目標人物渾然不知機密已外泄，抑或破壞就在眼皮底下發生。所謂的“邪惡女仆”，就是靠你不會起疑心的人來做案。

電影《慕尼黑》就上演過這種橋段，以色列情報員喬裝成不起眼的電信局人員，滲透進目標人物、一位阿拉伯學者家中幫忙“更換電話”，而被置換的電話里藏有遙控炸彈，得以暗殺對方。

▲ 電影《慕尼黑》畫面。

讀者若對詳細劇情有興趣就請自行參考電影。當年以色列情報員可是辛苦喬裝私闖民宅，然后還要大費周章一番才達成任務，整個過程風險極大，需要的人數也很多，然而現在 AMT 漏洞可就讓“辦事”輕松多了。

在公開場所，只需要兩名攻擊者就可以得逞：由一名攻擊者分散受害者的注意力，把對方帶離開計算機，另一名攻擊者只要短暫接觸受害者的筆記本電腦，不用超過 1 分鐘就可以開通 AMT 遠程遙控，此后你的計算機再也不是你的計算機，而是壞人監控你的利器，甚至是攻擊你公司 IT 設備網絡的起點。

F-Secure 已透過美國計算機網絡危機處理中心 CERT ，通知 Intel 和所有相關設備制造商這個安全問題，并迫切要求他們緊急處理。同時，F-Secure 也呼吁任何企業團體或組織用戶和 IT 管理員，應該把計算機 AMT 默認密碼更改為強密碼，或干脆禁用 AMT，且不要讓自己的筆記本電腦或臺式機處于無人看管的情況。

當然如果你曾有如此印象：“只不過離開計算機一下，回來時計算機畫面跟離開前有點不一樣（可能被重開機了）”，那你應該要檢查一下 BIOS AMT 相關設定，也許你本來根本不知道自己計算機有 AMT 功能，也根本沒使用過，然而前述 AMT 默認密碼輸入卻無效，無法調整設定，那么你該心里有數快做必要處置了。

F-Secure 高級安全研究員 Harry Sintonen 表示，其實他們 2017 年 7 月就發現這個問題，他說：“這個攻擊幾乎看似簡單，但有令人難以置信的破壞潛力。實際上，即使最嚴密的安全措施，也可讓攻擊者在本地端完全控制受害者工作用的筆記本電腦。”

Intel尚未就此作出回應。