Malware utilizza lo strumento di Intel per eludere il firewall

Il malware abusa della funzionalità di gestione dei chip Intel per infiltrarsi

Gli hacker sono noti per utilizzare idee creative e innovative per infiltrarsi in un sistema. Tuttavia, di solito ciò avviene tramite l’inganno dell’utente e/o sfruttando falle di sicurezza. Questa violazione della sicurezza, tuttavia, si verifica in una rara situazione in cui un hacker ha utilizzato un software esattamente nel modo in cui è stato progettato per essere utilizzato per hackerare un sistema.

Eludere il firewall

Microsoft ha annunciato che un gruppo noto con il nome di Platinum ha fatto uso della Tecnologia di gestione attiva (AMT) di Intel per eludere completamente il firewall di Windows. Lo strumento è disponibile su macchine che eseguono la linea di processori e chipset vPro di Intel. Il gruppo ha il proprio strumento di trasferimento file che utilizza – per i suoi servizi di comunicazione – il canale Serial-over-LAN (SOL) all’interno dell’AMT. Questo canale è stato progettato per operare indipendentemente dal sistema operativo in esecuzione sulla macchina e, pertanto, lo strumento è in grado di eludere il firewall di Windows rendendolo “invisibile alle applicazioni di monitoraggio del firewall e della rete in esecuzione sul dispositivo host.”

Il “canale Serial-Over-Lan (SOL)” espone un dispositivo seriale virtuale con un canale fornito dal chipset su TCP” non è abilitato per impostazione predefinita e richiede privilegi amministrativi per essere effettivamente eseguito sulle workstation target. Poiché la fornitura di tale canale è vincolata all’uso delle credenziali utente – nome utente e password – il gigante di Redmond ipotizza che PLATINUM “potrebbe aver ottenuto credenziali compromesse da reti vittime”.

Il firmware AMT funziona a un livello basso, al di sotto del sistema operativo, e ha accesso non solo al processore, ma anche all’interfaccia di rete. Il software consente a un utente di installare da remoto un sistema operativo su una macchina che non ne ha ancora uno, consente il riavvio dei dispositivi e fornisce anche una soluzione KVM (Tastiera, Video, Mouse) basata su IP per consentire agli utenti di completare queste operazioni.

Dichiarazioni

Questo è ciò che Microsoft ha dichiarato in una dichiarazione pubblica:

Abbiamo confermato che lo strumento non ha esposto vulnerabilità nella tecnologia di gestione stessa, ma piuttosto ha abusato di AMT SOL all’interno delle reti target che erano già state compromesse per mantenere la comunicazione furtiva ed eludere le applicazioni di sicurezza. Il nuovo protocollo SOL all’interno dello strumento di trasferimento file PLATINUM utilizza l’API della libreria di reindirizzamento del SDK della tecnologia AMT (imrsdk.dll). Le transazioni di dati vengono eseguite tramite le chiamate IMR_SOLSendText()/IMR_SOLReceiveText(), che sono analoghe alle chiamate di rete send() e recv(). Il protocollo SOL utilizzato è identico al protocollo TCP, ad eccezione dell’aggiunta di un’intestazione di lunghezza variabile sui dati per il rilevamento degli errori. Inoltre, il client aggiornato invia un pacchetto non crittografato con il contenuto “007?” prima dell’autenticazione.

Tuttavia, non tutti devono preoccuparsi di questo, poiché le macchine che eseguono Windows 10 versione 1607 o successiva e Configuration Manager 1610 o successivo sono considerate protette da questo o da qualsiasi altro attacco con gli stessi mezzi. Questa configurazione di sistema è in grado non solo di rilevare un attività di attacco mirato, ma può anche “differenziare tra l’uso legittimo di AMT SOL e attacchi mirati che tentano di utilizzarlo come canale di comunicazione.”

L’azienda ha anche dichiarato che questo è il primo attacco che ha utilizzato le funzionalità del chipset per i propri scopi e non espone le vulnerabilità del software AMT di Intel, piuttosto utilizza la tecnologia per eludere i sistemi di sicurezza in una rete complessa e compromessa. Microsoft ha anche rilasciato un video insieme alla dichiarazione pubblica affinché gli utenti possano comprendere come si sviluppa l’attacco, che puoi controllare qui sotto.