Malware usa ferramenta da Intel para evadir firewall

Malware abusa do recurso de gerenciamento de chip da Intel para infiltrar

Hackers têm sido conhecidos por usar ideias criativas e inovadoras para invadir um sistema. No entanto, geralmente é por meio de enganar o usuário e/ou explorar brechas. Essa violação de segurança, no entanto, acontece em um cenário raro quando um hacker utilizou um software exatamente da maneira como foi projetado para ser usado para invadir um sistema.

Evadindo o Firewall

A Microsoft anunciou que um grupo conhecido pelo nome de Platinum fez uso da Tecnologia de Gerenciamento Ativo da Intel (AMT) para contornar completamente o firewall do Windows. A ferramenta está disponível em máquinas que executam a linha de processadores e chipsets vPro da Intel. O grupo possui sua própria ferramenta de transferência de arquivos que utiliza – para seus serviços de comunicação – o canal Serial-over-LAN (SOL) de dentro do AMT. Este canal foi projetado para operar independentemente do sistema operacional em execução na máquina e, portanto, a ferramenta é capaz de contornar o firewall do Windows, tornando-se “invisível para aplicativos de firewall e monitoramento de rede em execução no dispositivo host.”

O “canal Serial-Over-Lan (SOL)” expõe um dispositivo serial virtual com um canal fornecido pelo chipset sobre TCP” não está habilitado por padrão e requer privilégios administrativos para realmente funcionar nas estações de trabalho alvo. Como a provisão de tal canal está vinculada ao uso de credenciais de usuário – nome de usuário e senha – o gigante de Redmond especula que o PLATINUM “pode ter obtido credenciais comprometidas de redes de vítimas”.

O firmware do AMT opera em um nível baixo, abaixo do sistema operacional, e tem acesso não apenas ao processador, mas também à interface de rede. O software permite que um usuário instale remotamente um sistema operacional em uma máquina que ainda não possui um, permite a reinicialização de dispositivos e também fornece uma solução KVM (Teclado, Vídeo, Mouse) baseada em IP para permitir que os usuários realizem essas tarefas.

Declarações

Isso é o que a Microsoft teve a dizer em uma declaração pública:

Confirmamos que a ferramenta não expôs vulnerabilidades na tecnologia de gerenciamento em si, mas sim abusou do AMT SOL dentro de redes-alvo que já foram comprometidas para manter a comunicação furtiva e evadir aplicativos de segurança. O novo protocolo SOL dentro da ferramenta de transferência de arquivos PLATINUM faz uso da API da Biblioteca de Redirecionamento do SDK da Tecnologia AMT (imrsdk.dll). Transações de dados são realizadas pelas chamadas IMR_SOLSendText()/IMR_SOLReceiveText(), que são análogas às chamadas de rede send() e recv(). O protocolo SOL utilizado é idêntico ao protocolo TCP, além da adição de um cabeçalho de comprimento variável nos dados para detecção de erros. Além disso, o cliente atualizado envia um pacote não criptografado com o conteúdo “007?” antes da autenticação.

No entanto, nem todos precisam se preocupar com isso, uma vez que máquinas que executam o Windows 10 versão 1607 ou posterior e o Configuration Manager 1610 ou posterior são consideradas protegidas contra este ou qualquer outro ataque pelos mesmos meios. Esta configuração de sistema não apenas é capaz de detectar uma atividade de ataque direcionado, mas também pode “diferenciar entre o uso legítimo do AMT SOL e ataques direcionados tentando usá-lo como um canal de comunicação.”

A empresa também afirmou que este é o primeiro ataque que utilizou recursos de chipset para seus propósitos e não expõe as vulnerabilidades do software AMT da Intel, mas sim usa a tecnologia para evadir sistemas de segurança em uma rede complexa e comprometida. A Microsoft também lançou um vídeo juntamente com a declaração pública para que os usuários entendam como o ataque se forma, que você pode conferir abaixo.