6Aug
Вредоносное ПО использует функцию Intel Chip Management для проникновения
Известно, что хакеры используют творческие и новаторские идеи для взлома системы. Однако обычно это происходит путем обмана пользователя и/или использования лазеек. Однако это нарушение безопасности происходит в редких случаях, когда хакер использовал программное обеспечение именно так, как оно было разработано для взлома системы.
Обход брандмауэра
Microsoft объявила, что группа под названием Platinum использовала Технология активного управления Intel (AMT) чтобы полностью обойти брандмауэр Windows. Инструмент доступен на компьютерах с линейкой процессоров и наборов микросхем Intel vPro. У группы есть собственный инструмент передачи файлов, который использует для своих коммуникационных услуг канал Serial-over-LAN (SOL) внутри AMT. Этот канал был разработан для работы независимо от операционной системы, работающей на машине, и поэтому инструмент может обходить брандмауэр Windows, что делает его «невидимый для брандмауэра и приложений мониторинга сети, работающих на хост-устройстве».
Канал Serial-Over-Lan (SOL) «предоставляет виртуальное последовательное устройство с каналом, предоставляемым набором микросхем, через TCP». не включен по умолчанию и требует прав администратора для фактического запуска на целевых рабочих станциях. Поскольку предоставление такого канала связано с использованием учетных данных пользователя — имени пользователя и пароля — Редмондский гигант предполагает, что PLATINUM «мог получить скомпрометированные учетные данные от жертвы сети».
Прошивка AMT работает на низком уровне, ниже операционной системы, и имеет доступ не только к процессору, но и к сетевому интерфейсу. Программное обеспечение позволяет пользователю удаленно устанавливать ОС на машину, на которой ее еще нет, позволяет циклическое переключение устройств, а также предоставляет решение KVM (клавиатура, видео, мышь) на основе IP, позволяющее пользователям выполнять эти задания.
Заявления
Вот что Microsoft должна была сказать в публичном заявлении:
Мы подтвердили, что инструмент не выявлял уязвимости в самой технологии управления, а неправильно использовал AMT. SOL в целевых сетях, которые уже были скомпрометированы, чтобы сохранить связь скрытой и обойти безопасность Приложения.
Новый протокол SOL в инструменте передачи файлов PLATINUM использует API библиотеки перенаправления AMT Technology SDK (imrsdk.dll). Транзакции данных выполняются вызовами IMR_SOLSendText()/IMR_SOLReceiveText(), которые аналогичны сетевым вызовам send() и recv(). Используемый протокол SOL идентичен протоколу TCP, за исключением добавления заголовка переменной длины к данным для обнаружения ошибок. Также обновленный клиент перед аутентификацией отправляет незашифрованный пакет с содержимым «007?».
Однако не всем нужно беспокоиться об этом, поскольку машины под управлением Windows 10 версии 1607 или более поздней версии и Configuration Manager 1610 или более поздней версии считаются защищенными от этой или любой другой атаки со стороны одного и того же означает. Эта конфигурация системы способна не только обнаруживать целенаправленная атака но это также может «Различайте законное использование AMT SOL и целевые атаки, пытающиеся использовать его в качестве канала связи».
Компания также заявила, что это первая атака, в которой используются функции чипсета для своих целей, и она не раскрывает уязвимости программного обеспечения Intel AMT, а использует технологию для обхода систем безопасности в сложных и скомпрометированных сеть. Microsoft также выпустила видео вместе с публичным заявлением, чтобы пользователи могли понять, как принимает форму атака, которую вы можете посмотреть ниже.
Источник: Неовин