Avis de sécurité du moteur de gestion de la sécurité convergé Intel® (Intel® CSME) : SA-00404

Documentation

Information et documentation de produit

000057259

30/11/2023

Le 8 septembre 2020, Intel a publié des informations pour l’avis de sécurité INTEL-SA-00404. Ces informations ont été publiées dans le cadre du processus normal de mise à jour des produits d’Intel.

L’avis de sécurité révèle que des vulnérabilités de sécurité potentielles pourraient permettre l’escalade des privilèges dans les cas suivants :

  • Technologie d'administration active Intel® (Intel® AMT)
  • Intel® Standard Manageability (ISM)

Intel publie des mises à jour micrologicielles et logicielles pour atténuer ces vulnérabilités potentielles.

Reportez-vous à l’avis de sécurité publique INTEL-SA-00404 pour obtenir des détails complets sur les scores « Common Vulnerabilities and Exposures » (CVE) et Common Vulnerability Scoring System (CVSS).

Trouvez des informations complémentaires.

Produits touchés

Technologie d'administration active Intel® Intel® AMT), Intel® Standard Manageability (ISM) :

Version à jour Remplace la version
11.8.79 11.0 à 11.8.77
11.11.79 11.10 à 11.11.77
11.22.79 11.20 à 11.22.77
12.0.68 12.0 à 12.0.64
14.0.39 De 14.0.0 à 14.0.33

Note

Les versions de microprogramme du moteur de gestion Intel® (Intel® ME) 3.x à 10.x ne sont plus prises en charge. Aucune nouvelle version n’est prévue.

Recommandations

Contactez le constructeur de votre système ou de votre carte mère pour obtenir une mise à jour du microprogramme ou du BIOS corrigeant cette vulnérabilité. Intel ne peut pas fournir de mises à jour pour les systèmes ou les cartes mères d’autres fabricants.

Foire aux questions

Cliquez sur la rubrique pour plus d’informations :

Comment puis-je atténuer ces vulnérabilités ? Contactez le constructeur de votre système ou de votre carte mère pour obtenir une mise à jour du microprogramme ou du BIOS corrigeant cette vulnérabilité. Intel ne peut pas fournir de mises à jour pour les systèmes ou les cartes mères d’autres fabricants.
Quelles sont les descriptions de vulnérabilité, les numéros CVE (Common Vulnerabilities and Exposures) et les informations du système CVSS (Common Vulnerability Scoring System) pour les vulnérabilités identifiées associées à Intel® AMT et ISM ? Consultez l’avis de sécurité INTEL-SA-00404 pour obtenir des informations complètes sur les CVE associées à cette annonce.
Comment puis-je déterminer si je suis concerné par cette vulnérabilité ?L’outil de détection de Intel® Converged Security and Management Engine (Intel® CSME) peut être exécuté sur n’importe quelle plateforme pour déterminer si la plateforme exécute la dernière version du microprogramme. L’outil est disponible dans l’Espace de téléchargement.
J’ai un système ou une carte mère fabriqué par Intel (Intel® NUC, Intel® Mini PC) qui s’affiche comme vulnérable. Qu’est-ce que je fais ? Accédez à Assistance Intel et accédez à la page d’assistance de votre produit. Vous pourrez rechercher des mises à jour du BIOS ou du microprogramme de votre système.
J’ai construit mon ordinateur à partir de composants, je n’ai donc pas de constructeur de système à contacter. Qu’est-ce que je fais ? Contactez le fabricant de la carte mère que vous avez achetée pour construire votre système. Ils sont chargés de distribuer la mise à jour correcte du BIOS ou du microprogramme de la carte mère.
Existe-t-il des facteurs atténuants susceptibles de réduire la vulnérabilité d’un système à l’exploitation de ce problème ?
  • Pour le vecteur d’attaque réseau, si Intel® AMT n’est pas provisionné, le système n’est pas vulnérable.
  • Pour le vecteur d’attaque locale, si le Intel® Local Manageability Service (Intel® LMS) n’est pas installé ou est à l’état arrêté ou désactivé , le système n’est pas vulnérable.
  • Si la plateforme est configurée pour utiliser l’accès à distance initié par le client (CIRA) et que la détection de l’environnement est configurée pour indiquer que la plateforme se trouve toujours en dehors du réseau d’entreprise, le système est en mode CIRA uniquement et n’est pas exposé au vecteur réseau.
  • Intel a fourni des conseils de détection à divers fournisseurs de sécurité qui ont publié des signatures dans leurs produits de détection/prévention des intrusions comme mesure supplémentaire pour aider à protéger les clients lors de la planification du déploiement de cette mise à jour.
  • Pour plus d’informations, consultez le fabricant de votre représentant Intel/du système.
Comment déterminer si mon système répond à ces critères ?
  • Pour déterminer si Intel AMT est provisionné, téléchargez l’outil de configuration Intel® Endpoint Management Assistant (Intel® EMA Configuration Tool) :
    • Installez EMAConfigTool.msi et exécutez à partir de l’interface de ligne de commande Windows (interface de ligne de commande) administrative C :\Program Files (x86)\Intel\EMAConfigTool
    • La sortie du Intel® EMA Configuration Tool indique si Intel® AMT est provisionné et l’état du service de gestion locale (Intel® LMS). Les étapes ci-dessous montrent également l’état de Intel® LMS.
  • Pour déterminer si Intel® Local Manageability Service (Intel® LMS) est à l’état arrêté ou désactivé à partir des services Windows :
    1. Appuyez sur la touche Windows* de votre clavier et exécutez services.msc.
    2. Trouvez Intel® Management and Security Application Local Management Service et vérifiez la colonne Type de démarrage .

Si vous avez d’autres questions à ce sujet, contactez Intel Customer Support.