저는 Intel AMT 원격 공격의 영향을 받은 ThinkPad 노트북에서 Linux를 실행하고 있습니다.
다음은 AMT 원격 공격에 관한 Intel의 발표입니다.
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&언어id=en-fr
영향을 받는 모델을 설명하는 Lenovo 페이지는 다음과 같습니다.
https://support.lenovo.com/us/en/product_security/len-14963
내 ThinkPad의 버그를 수정하기 위해 6월 말에 새로운 펌웨어가 약속되었기 때문에 내가 무엇을 하든 내 노트북은 몇 주 동안 버그가 있을 것입니다.
작동 방식에 대한 자세한 설명은 다음과 같습니다.
https://mjg59.dreamwidth.org/48429.html
위의 논의에서 제가 묻고 있는 부분은 다음과 같습니다.
AMT는 또한 명시적으로 지정된 네트워크에만 연결합니다. 상황을 더욱 혼란스럽게 만드는 것은 일단 OS가 실행되면 WiFi에 대한 책임이 ME에서 OS로 이전되고, OS는 패킷을 AMT로 전달합니다. Wi-Fi 지원 AMT로 인해 운영 체제가 모든 Wi-Fi 네트워크의 AMT로 패킷을 전달하는지 아니면 명시적으로 구성된 Wi-Fi 네트워크에서만 패킷을 전달하는지에 대한 좋은 문서를 찾을 수 없습니다.
저는 ThinkPad에서만 Linux를 실행하고 있습니다. Linux는 WiFi에서 Intel AMT 관리 엔진으로 네트워크 패킷을 전달할 가능성이 낮기 때문에 내 ThinkPad는 원격 AMT 공격에 취약하지 않다고 생각합니다. 하지만 확실히 알고 싶습니다.
저는 이번 주말에 Linux 컨퍼런스에 참석할 예정입니다(https://www.linuxfestnorthwest.org/) 그리고 내 노트북이 Intel AMT 원격 공격으로 인해 위험에 처해 있는지 알고 싶습니다. USB WiFi 어댑터를 구입해서 사용해야 하나요?
답변1
Linux에서 lspci의 설명에 "MEI" 또는 "HECI"가 포함된 통신 컨트롤러가 표시되지 않으면 AMT가 실행되고 있지 않으며 안전합니다. MEI 컨트롤러가 표시된다고 해서 여전히 취약하다는 의미는 아닙니다. AMT가 여전히 구성되어 있을 수 있습니다. 재부팅하면 ME를 언급하는 간단한 펌웨어 프롬프트가 표시됩니다. 이때 ctrl+p를 누르면 들어갈 수 있습니다.AMT를 비활성화할 수 있는 메뉴입니다.