Malware utilisant l'outil d'Intel pour contourner le pare-feu

Le malware abuse de la fonctionnalité de gestion des puces Intel pour s’infiltrer

Les hackers sont connus pour utiliser des idées créatives et innovantes pour pénétrer dans un système. Cependant, cela se fait généralement en trompant l’utilisateur et/ou en exploitant des failles. Cette violation de sécurité se produit cependant dans le rare scénario où un hacker a utilisé un logiciel exactement comme il a été conçu pour être utilisé afin de pénétrer dans un système.

Contournement du pare-feu

Microsoft a annoncé qu’un groupe se faisant appeler Platinum a utilisé la Technologie de Gestion Active (AMT) d’Intel pour contourner complètement le pare-feu de Windows. L’outil est disponible sur les machines fonctionnant avec la gamme de processeurs et de chipsets vPro d’Intel. Le groupe dispose de son propre outil de transfert de fichiers qui utilise – pour ses services de communication – le canal Serial-over-LAN (SOL) depuis l’AMT. Ce canal a été conçu pour fonctionner indépendamment du système d’exploitation en cours d’exécution sur la machine et, par conséquent, l’outil est capable de contourner le pare-feu de Windows, le rendant ainsi « invisible aux applications de pare-feu et de surveillance réseau fonctionnant sur l’appareil hôte. »

Le canal Serial-Over-Lan (SOL) « expose un dispositif série virtuel avec un canal fourni par le chipset sur TCP » n’est pas activé par défaut et nécessite des privilèges administratifs pour fonctionner réellement sur les stations de travail cibles. Étant donné que la mise en service d’un tel canal est liée à l’utilisation de l’identifiant utilisateur – nom d’utilisateur et mot de passe – le géant de Redmond suppose que PLATINUM « pourrait avoir obtenu des identifiants compromis à partir de réseaux victimes ».

Le firmware AMT fonctionne à un niveau bas, en dessous du système d’exploitation, et a accès non seulement au processeur, mais aussi à l’interface réseau. Le logiciel permet à un utilisateur d’installer à distance un système d’exploitation sur une machine qui n’en a pas encore, permet le redémarrage des appareils et fournit également une solution KVM (Clavier, Vidéo, Souris) basée sur IP pour permettre aux utilisateurs d’accomplir ces tâches.

Déclarations

Voici ce que Microsoft a déclaré dans une déclaration publique :

Nous avons confirmé que l’outil n’a pas exposé de vulnérabilités dans la technologie de gestion elle-même, mais a plutôt abusé de l’AMT SOL au sein de réseaux cibles qui ont déjà été compromis pour maintenir la communication discrète et éviter les applications de sécurité. Le nouveau protocole SOL au sein de l’outil de transfert de fichiers PLATINUM utilise l’API de la bibliothèque de redirection du SDK de la technologie AMT (imrsdk.dll). Les transactions de données sont effectuées par les appels IMR_SOLSendText()/IMR_SOLReceiveText(), qui sont analogues aux appels de réseau send() et recv(). Le protocole SOL utilisé est identique au protocole TCP, à l’exception de l’ajout d’un en-tête de longueur variable sur les données pour la détection d’erreurs. De plus, le client mis à jour envoie un paquet non chiffré avec le contenu « 007? » avant l’authentification.

Cependant, tout le monde n’a pas besoin de s’inquiéter de cela, car les machines fonctionnant sous Windows 10 version 1607 ou ultérieure et Configuration Manager 1610 ou ultérieure sont considérées comme protégées contre cette attaque ou toute autre attaque par les mêmes moyens. Cette configuration système est non seulement capable de détecter une activité d’attaque ciblée, mais elle peut également « différencier entre l’utilisation légitime de l’AMT SOL et les attaques ciblées tentant de l’utiliser comme canal de communication. »

L’entreprise a également déclaré qu’il s’agissait de la première attaque ayant utilisé des fonctionnalités de chipset à ses fins et qu’elle n’expose pas les vulnérabilités du logiciel AMT d’Intel, mais utilise plutôt la technologie pour éviter les systèmes de sécurité dans un réseau complexe et compromis. Microsoft a également publié une vidéo accompagnant la déclaration publique pour aider les utilisateurs à comprendre comment l’attaque se manifeste, que vous pouvez consulter ci-dessous.