インテルのツールを使用してファイアウォールを回避するマルウェア

マルウェアがインテルのチップ管理機能を悪用して侵入

ハッカーはシステムに侵入するために創造的で革新的なアイデアを使用することで知られています。しかし、通常はユーザーを欺いたり、抜け穴を悪用したりする手段によって行われます。しかし、このセキュリティ侵害は、ハッカーがシステムに侵入するために設計された通りにソフトウェアを利用したという稀なシナリオに発生します。

ファイアウォールの回避

マイクロソフトは、プラチナムという名前のグループがインテルのアクティブ管理技術（AMT）を利用してWindowsのファイアウォールを完全に回避したと発表しました。このツールは、インテルのvProプロセッサおよびチップセットを搭載したマシンで利用可能です。このグループは、AMT内のシリアルオーバーLAN（SOL）チャネルを通信サービスに利用する独自のファイル転送ツールを持っています。このチャネルは、マシン上で実行されているオペレーティングシステムとは独立して動作するように設計されているため、ツールはWindowsのファイアウォールを回避でき、「ホストデバイス上で実行されているファイアウォールおよびネットワーク監視アプリケーションに対して見えなくなる。」

「シリアルオーバーLAN（SOL）チャネル」は、「TCP上のチップセット提供チャネルを介して仮想シリアルデバイスを公開する」もので、デフォルトでは有効になっておらず、ターゲットワークステーションで実行するには管理者権限が必要です。このようなチャネルのプロビジョニングは、ユーザー資格情報（ユーザー名とパスワード）の使用によって制約されるため、レドモンドの巨人はPLATINUMが「被害者ネットワークから侵害された資格情報を取得した可能性がある」と推測しています。

AMTファームウェアは、オペレーティングシステムの下位レベルで実行され、プロセッサだけでなくネットワークインターフェースにもアクセスできます。このソフトウェアは、まだOSを持たないマシンにリモートでOSをインストールすることを可能にし、デバイスの電源をサイクルすることを許可し、これらのタスクを達成するためにユーザーが利用できるIPベースのKVM（キーボード、ビデオ、マウス）ソリューションを提供します。

声明

これがマイクロソフトが公表した声明です：

ツール自体が管理技術の脆弱性を露呈したのではなく、すでに侵害されたターゲットネットワーク内でAMT SOLを悪用して通信を隠密に保ち、セキュリティアプリケーションを回避したことを確認しました。PLATINUMファイル転送ツール内の新しいSOLプロトコルは、AMTテクノロジーSDKのリダイレクションライブラリAPI（imrsdk.dll）を利用しています。データトランザクションは、ネットワーキングのsend()およびrecv()呼び出しに類似したIMR_SOLSendText()/IMR_SOLReceiveText()の呼び出しによって実行されます。使用されるSOLプロトコルは、エラー検出のための可変長ヘッダーの追加を除いてTCPプロトコルと同一です。また、更新されたクライアントは、認証前に「007?」という内容の暗号化されていないパケットを送信します。

ただし、すべての人が心配する必要はありません。Windows 10バージョン1607以降およびConfiguration Manager 1610以降を実行しているマシンは、この攻撃や同様の手段による他の攻撃から保護されていると見なされています。このシステム構成は、ターゲット攻撃活動を検出するだけでなく、「AMT SOLの正当な使用と、それを通信チャネルとして使用しようとするターゲット攻撃を区別することができる。」

同社は、これは目的のためにチップセット機能を利用した最初の攻撃であり、インテルのAMTソフトウェアの脆弱性を露呈するものではなく、複雑で侵害されたネットワーク内でセキュリティシステムを回避するために技術を使用していると述べています。マイクロソフトは、攻撃がどのように形を取るかを理解するためのビデオも公表しており、以下で確認できます。