USBを介したIntelME（CSME）JTAG攻撃を保護/軽減するにはどうすればよいですか？

インテルの管理エンジンの問題は長年にわたって提起されており、以前から問題がありましたが、これはまだ多くの人にとってニュース速報です。したがって、より多くの情報が利用可能になると、この回答は更新が必要になる場合があります。

攻撃ベクトルとは何ですか？ （コンピュータへの物理的なアクセスが必要ですか？）

この特定のケースでは、はい-物理的なアクセスが必要です。ただし、MEの目的の1つはremoteアクセスを許可することであることに注意してください。完全なネットワークスタックとWebサーバーさえ含まれています。

どのコンピューター（および構成）が影響を受けますか？

Intelプロセッサを搭載したものは何年も前に遡ります。元々、MEはノースブリッジに組み込まれ、後でプロセッサに統合されました（ ref ）

Broadwell、Skylake、およびそれ以降が影響を受けます。それより古いシステムはDCI（USB経由でJTAGにアクセスするためのプロトコル）をサポートしていません。これらのシステムにはMEがありますが、USBからはアクセスできません

そのような攻撃をどのようにして保護および/または軽減するには？

マザーボードからUSBのトラックを焼きます！ただし、この問題が解決されるのは、後で発見される可能性のある他の問題ではないことに注意してください。 USB経由で実行できる他の、実際にはおそらくもっと簡単な攻撃があることを忘れないでください。セキュリティの高い使用のためには、USBをオフにするか、保護を強化する必要があります。

幸運にも、AMTをオフにできるBIOSを備えたマザーボードを持っているかもしれません。また、上記のWikipediaの記事では、Windowsのいくつかの緩和策について言及しています。

AMTがオフになっている場合でも、 BIOS設定では、DCI over USBは脆弱なシステムでMEをハイジャックする可能性があります。

AMDチップとマザーボードを使用することも役立つかもしれませんが、実際の証拠はありません。確かにIntelは常にAMTについて非常に密接な関係にあるので、AMDチップセットにはそれがないと思います-独自の解決策がある可能性もあります。

匿名ユーザーは、AMDシステムにAMD PSPと呼ばれる類似のシステムがあることを編集で提案しましたが、USB経由でアクセスできるとは考えていませんでした。