Malware nutzt Intels Tool zur Umgehung der Firewall

Malware missbraucht Intels Chip-Management-Funktion zur Infiltration

Hacker haben kreative und innovative Ideen genutzt, um in ein System einzudringen. Dies geschieht jedoch normalerweise durch Täuschung des Benutzers und/oder Ausnutzung von Schlupflöchern. Dieser Sicherheitsvorfall ist jedoch ein seltener Fall, in dem ein Hacker eine Software genau so genutzt hat, wie sie entworfen wurde, um in ein System einzudringen.

Umgehung der Firewall

Microsoft hat angekündigt, dass eine Gruppe mit dem Namen Platinum Intels Active Management Technology (AMT) genutzt hat, um die Firewall von Windows vollständig zu umgehen. Das Tool ist auf Maschinen verfügbar, die mit Intels vPro-Prozessoren und -Chipsätzen ausgestattet sind. Die Gruppe hat ihr eigenes Dateiübertragungs-Tool, das für seine Kommunikationsdienste den Serial-over-LAN (SOL)-Kanal innerhalb des AMT nutzt. Dieser Kanal wurde so konzipiert, dass er unabhängig vom Betriebssystem, das auf der Maschine läuft, funktioniert, und daher kann das Tool die Firewall von Windows umgehen, wodurch es „unsichtbar für Firewall- und Netzwerküberwachungsanwendungen ist, die auf dem Hostgerät laufen.“

Der „Serial-Over-Lan (SOL)-Kanal“ stellt ein virtuelles serielles Gerät mit einem vom Chipsatz bereitgestellten Kanal über TCP zur Verfügung und ist standardmäßig nicht aktiviert. Er erfordert administrative Berechtigungen, um tatsächlich auf den Zielarbeitsplätzen ausgeführt zu werden. Da die Bereitstellung eines solchen Kanals an die Verwendung von Benutzeranmeldeinformationen – Benutzername und Passwort – gebunden ist, spekuliert der Redmonder Riese, dass PLATINUM „möglicherweise kompromittierte Anmeldeinformationen aus den Netzwerken der Opfer erhalten hat“.

Die AMT-Firmware läuft auf einer niedrigen Ebene, unterhalb des Betriebssystems, und hat Zugriff nicht nur auf den Prozessor, sondern auch auf die Netzwerkschnittstelle. Die Software ermöglicht es einem Benutzer, ein Betriebssystem auf einer Maschine zu installieren, die noch keines hat, ermöglicht das Neustarten von Geräten und bietet auch eine IP-basierte KVM (Tastatur, Video, Maus)-Lösung, um Benutzern zu ermöglichen, diese Aufgaben zu erledigen.

Aussagen

Das hatte Microsoft in einer öffentlichen Erklärung zu sagen:

Wir haben bestätigt, dass das Tool keine Schwachstellen in der Verwaltungstechnologie selbst aufgedeckt hat, sondern vielmehr AMT SOL innerhalb von Zielnetzwerken missbraucht hat, die bereits kompromittiert waren, um die Kommunikation heimlich zu halten und Sicherheitsanwendungen zu umgehen. Das neue SOL-Protokoll innerhalb des PLATINUM-Dateiübertragungs-Tools nutzt die Redirection Library API (imrsdk.dll) des AMT Technology SDK. Datenübertragungen werden durch die Aufrufe IMR_SOLSendText()/IMR_SOLReceiveText() durchgeführt, die den Netzwerkaufrufen send() und recv() entsprechen. Das verwendete SOL-Protokoll ist identisch mit dem TCP-Protokoll, abgesehen von der Hinzufügung eines variablen Header zur Fehlererkennung. Außerdem sendet der aktualisierte Client ein unverschlüsseltes Paket mit dem Inhalt „007?“ vor der Authentifizierung.

Nicht jeder muss sich jedoch Sorgen machen, da Maschinen, die mit Windows 10 Version 1607 oder später und Configuration Manager 1610 oder später betrieben werden, als geschützt gegen diesen oder einen anderen Angriff durch dieselben Mittel gelten. Diese Systemkonfiguration ist nicht nur in der Lage, eine gezielte Angriffsaktivität zu erkennen, sondern kann auch „zwischen der legitimen Nutzung von AMT SOL und gezielten Angriffen, die versuchen, es als Kommunikationskanal zu nutzen, unterscheiden.“

Das Unternehmen hat auch gesagt, dass dies der erste Angriff ist, der Chipsatzfunktionen für seine Zwecke genutzt hat, und dass er nicht die Schwachstellen von Intels AMT-Software aufdeckt, sondern die Technologie nutzt, um Sicherheitssysteme in einem komplexen und kompromittierten Netzwerk zu umgehen. Microsoft hat auch ein Video zusammen mit der öffentlichen Erklärung veröffentlicht, damit die Benutzer verstehen, wie der Angriff Gestalt annimmt, das Sie unten ansehen können.