我在受 Intel AMT 远程攻击影响的 ThinkPad 笔记本电脑上运行 Linux。
以下是英特尔关于 AMT 远程利用的公告:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr
以下是 Lenovo 页面,其中记录了受影响的型号:
https://support.lenovo.com/us/en/product_security/len-14963
承诺在 6 月底推出新固件来修复我的 ThinkPad 上的漏洞,因此无论我做什么,我的笔记本电脑都会有几周的漏洞。
以下是其工作原理的详细讨论:
https://mjg59.dreamwidth.org/48429.html
从上面的讨论来看,这是我要问的部分:
AMT 也只会连接到明确告知的网络。更令人困惑的是,一旦操作系统运行,WiFi 的责任就从 ME 转移到操作系统,操作系统会将数据包转发给 AMT。我找不到好的文档来说明启用 wifi 的 AMT 是否会导致操作系统在所有 wifi 网络上将数据包转发给 AMT,还是只转发明确配置的 wifi 网络上的数据包。
我在 ThinkPad 上(仅)运行 Linux。我相信我的 ThinkPad 不会受到远程 AMT 攻击,因为 Linux 不太可能将网络数据包从 WiFi 转发到 Intel AMT 管理引擎。但我想确切地知道。
这个周末我要去参加一个 Linux 会议(https://www.linuxfestnorthwest.org/)并且我想知道我的笔记本电脑是否面临英特尔 AMT 远程攻击的风险。我是否需要购买一个 USB WiFi 适配器并仅使用它?
答案1
在 Linux 下,如果 lspci 未显示描述中带有“MEI”或“HECI”的通信控制器,则 AMT 未运行,您是安全的。如果它确实显示 MEI 控制器,这仍然并不意味着您容易受到攻击 - AMT 可能仍未配置。如果重新启动,您应该会看到一个简短的固件提示,其中提到了 ME。此时按 ctrl+p 应该会让你进入一个可以让您禁用 AMT 的菜单。