Malware utiliza la herramienta de Intel para evadir el firewall

Malware abusa de la función de gestión de chips de Intel para infiltrarse

Los hackers han sido conocidos por usar ideas creativas e innovadoras para infiltrarse en un sistema. Sin embargo, generalmente es mediante el engaño al usuario y/o la explotación de fallos. Esta violación de seguridad, sin embargo, ocurre en el raro escenario cuando un hacker ha utilizado un software de la manera exacta en que fue diseñado para ser utilizado para hackear un sistema.

Evitando el Firewall

Microsoft ha anunciado que un grupo que se hace llamar Platinum ha hecho uso de la Tecnología de Gestión Activa (AMT) de Intel para evadir completamente el firewall de Windows. La herramienta está disponible en máquinas que ejecutan la línea de procesadores y chipsets vPro de Intel. El grupo tiene su propia herramienta de transferencia de archivos que utiliza, para sus servicios de comunicación, el canal Serial-over-LAN (SOL) desde dentro de la AMT. Este canal ha sido diseñado para operar independientemente del sistema operativo que se ejecute en la máquina y, por lo tanto, la herramienta puede evadir el firewall de Windows, haciéndola “invisible para las aplicaciones de firewall y monitoreo de red que se ejecutan en el dispositivo host.”

El “canal Serial-Over-Lan (SOL)” expone un dispositivo serial virtual con un canal proporcionado por el chipset sobre TCP” no está habilitado por defecto y requiere privilegios administrativos para ejecutarse en las estaciones de trabajo objetivo. Dado que la provisión de tal canal está sujeta al uso de credenciales de usuario – nombre de usuario y contraseña – el gigante de Redmond especula que PLATINUM “podría haber obtenido credenciales comprometidas de redes víctimas”.

El firmware de AMT se ejecuta a un nivel bajo, por debajo del sistema operativo, y tiene acceso no solo al procesador, sino también a la interfaz de red. El software permite a un usuario instalar remotamente un sistema operativo en una máquina que aún no tiene uno, permite el ciclo de encendido y apagado de dispositivos y también proporciona una solución KVM (Teclado, Video, Ratón) basada en IP para permitir a los usuarios realizar estas tareas.

Declaraciones

Esto es lo que Microsoft tuvo que decir en una declaración pública:

Confirmamos que la herramienta no expuso vulnerabilidades en la tecnología de gestión en sí, sino que más bien abusó de AMT SOL dentro de redes objetivo que ya han sido comprometidas para mantener la comunicación sigilosa y evadir aplicaciones de seguridad. El nuevo protocolo SOL dentro de la herramienta de transferencia de archivos PLATINUM utiliza la API de la Biblioteca de Redirección del SDK de Tecnología AMT (imrsdk.dll). Las transacciones de datos se realizan mediante las llamadas IMR_SOLSendText()/IMR_SOLReceiveText(), que son análogas a las llamadas de red send() y recv(). El protocolo SOL utilizado es idéntico al protocolo TCP, además de la adición de un encabezado de longitud variable en los datos para la detección de errores. Además, el cliente actualizado envía un paquete sin cifrar con el contenido “007?” antes de la autenticación.

Sin embargo, no todos necesitan preocuparse por esto, ya que las máquinas que ejecutan Windows 10 versión 1607 o posterior y Configuration Manager 1610 o posterior se consideran protegidas contra este o cualquier otro ataque por los mismos medios. Esta configuración del sistema no solo es capaz de detectar una actividad de ataque dirigida, sino que también puede “diferenciar entre el uso legítimo de AMT SOL y ataques dirigidos que intentan usarlo como un canal de comunicación.”

La compañía también ha dicho que este es el primer ataque que ha utilizado características del chipset para sus propósitos y no expone las vulnerabilidades del software AMT de Intel, sino que utiliza la tecnología para evadir sistemas de seguridad en una red compleja y comprometida. Microsoft también ha lanzado un video junto con la declaración pública para que los usuarios comprendan cómo se desarrolla el ataque, que puedes ver a continuación.