Primer malware que utiliza vulnerabildad en Intel AMT

 

Hace apenas un mes se dió a conocer un importante fallo de seguridad en el Active Management Technology (AMT) de Intel, que permite tomar el control de los ordenadores que utilizan dicha tecnología, mediante una escalada de privilegios. Ahora, un grupo conocido como “Platinum”, ha encontrado una manera de ocultar sus actividades maliciosas mediante dicha vulnerabilidad. La vulnerabilidad, con CVE-2017-5689, afecta a las tecnologías de gestión remota de Intel, incluidas el Active Management Technology (AMT), Intel Standard Manageability (ISM), e Intel Small Business Technology (SBT).

 

 


Utilización de la herramienta Intel AMT para evadir el firewall

Un grupo de ciberespionaje conocido como “Platinum”, que está dirigido activamente a organizaciones gubernamentales, institutos de defensa y proveedores de telecomunicaciones desde al menos el año 2009, ha encontrado una manera de ocultar sus actividades maliciosas de mecanismos de protección basados en host.

Microsoft ha descubierto recientemente que el grupo de ciberespionaje está ahora aprovechando el canal de Serial-over-LAN (SOL) de Active Management Technology (AMT) de Intel como una herramienta de transferencia de archivos para robar datos de los equipos objetivo sin ser detectados.

https://blogs.technet.microsoft.com/mmpc/2017/06/07/platinum-continues-to-evolve-find-ways-to-maintain-invisibility/

Además, como el tráfico SOL pasa por alto la pila de red de host, no puede ser bloqueado por las aplicaciones de firewall que se ejecutan en el dispositivo host.Para habilitar la funcionalidad SOL, el dispositivo AMT debe ser aprovisionado.
La interfaz web de Intel AMT funciona incluso cuando el sistema está apagado, siempre y cuando la plataforma esté conectada a una línea de alimentación y un cable de red, ya que opera independientemente del sistema operativo.

A diferencia de la falla de autenticación remota descubierta el mes pasado, que permitió a los piratas informáticos tomar el control total de un sistema utilizando las funciones de AMT sin necesidad de ninguna contraseña, Platinum no explora ninguna falla en AMT, por lo que requiere que AMT esté habilitado en sistemas infectados.

https://3.bp.blogspot.com/-6vVMo7lptSE/WTp0mifA7PI/AAAAAAAAsOk/iYX678K-uDQIDvMrpnoH4fSZcRcCeM_4wCLcB/s1600/3-AMT-SOL-component-stack.png

Microsoft señala que la sesión de SOL requiere un nombre de usuario y una contraseña, por lo que el grupo de hacking está usando credenciales robadas para que su malware se comunique de forma remota con los servidores C & C o “durante el proceso de aprovisionamiento, PLATINUM puede seleccionar el nombre de usuario y la contraseña que deseen”.

El grupo de hacking Platinum ha estado usando explotaciones de día cero, técnica de remiendo caliente y otras tácticas avanzadas para penetrar en sus sistemas y redes de destino en países del sur de Asia, pero esta es la primera vez que alguien está abusando de las herramientas de administración legítimas para evadir la detección.

Microsoft dijo que ya ha actualizado su propio software de Protección Avanzada de Amenazas de Windows Defender (Windows Defender ATP) alertará a los administradores de la red de cualquier intento malicioso de usar AMT SOL, pero solo para sistemas que ejecutan el sistema operativo Windows.

¿Qué es Active Management Technology – AMT?
Se trata de un subsistema que reside en el firmware de muchos de sus procesadores y que permite realizar conexiones remotas sin depender del sistema operativo, con el objetivo de llevar a cabo operaciones de monitorización,reparación,o actualización.

AMT es capaz de burlar cualquier firewall o medida de protección presente en nuestro sistema, incluso –bajo ciertas condiciones– el secure boot.

Esto significa que cuando AMT está habilitado, cualquier paquete enviado al puerto de red por cable de la PC será redirigido al Management Engine y transmitido a AMT. El sistema operativo, así como las aplicaciones de monitoreo de red instaladas en un sistema, nunca saben lo que está pasando .

Además, los sistemas Linux con chips de Intel y AMT habilitados también pueden estar expuestos al malware de Platinum.

Cuando compramos un ordenador con una placa base para Intel compatible con procesadores x86, como parte del chipset, estamos recibiendo un controlador llamado Intel Management Engine (ME). Este controlador es el encargado de controlar la CPU principal y funciona de forma independiente al procesador, incluso cuando el equipo se encuentra en estado de suspensión. En algunos chipsets se utiliza un firmware especial llamado Active Management Technology (AMT) para controlar el chip ME. Este firmware funciona de forma totalmente transparente al sistema operativo y se ejecuta siempre en el más bajo nivel, independientemente del sistema operativo o el software utilizado.

La principal finalidad del AMT es poder administrar los ordenadores de forma remota las funciones básicas del ordenador accediendo directamente a la memoria del controlador ME a través del protocolo TCP/IP.
La vulnerabilidad CVE-2017-5689

La vulnerabilidad se puede explotar de forma local (con acceso físico a la máquina) o a través de alguien que esté conectado en nuestra misma red (en un Wi-Fi público por ejemplo.). En este último caso se haría a través de los puertos abiertos 16992, 16993, 16994, 16995, 623,y 664 que utiliza AMT para comunicarse.

Afecta a Active Management Technology AMT y otras tecnologías de Intel como Standard Manageability (ISM) y Small Business Technology (SBT) agrupadas en la plataforma vPro, en sus versiones de firmware de 6 a 11.6 (desde 2010).

Es un problema descubierto ahora, pero que se lleva arrastrando desde hace 10 años, aunque se desconoce si ha llegado a explotarse en algún momento. El hecho de ser código cerrado también dificulta saber el alcance exacto de la vulnerabilidad.

Aunque en Intel quieren reducir daños restringiendolo al ámbito profesional y no al de la computación personal o de ocio, es posible que si tenéis un equipo relativamente reciente venga por defecto con esa tecnología. Dependiendo del fabricante puede venir o no habilitado.

Mitigaciones CVE-2017-5689

Herramienta oficial de Intel:
INTEL-SA-00075 Detection and Mitigation Tool

https://downloadcenter.intel.com/product/23549/Intel-Active-Management-Technology-Intel-AMT-
Para Windows 10, Windows 8.1, Windows 8 y Windows 7

Usuarios de Linux:
https://github.com/intel/INTEL-SA-00075-Linux-Detection-And-Mitigation-Tools
AMT status checker for Linux:
https://github.com/mjg59/mei-amt-check
$ git clone https://github.com/mjg59/mei-amt-check.git
$ cd mei-amt-check
$ make
$ sudo ./mei-amt-check
Posibles respuestas:
Intel AMT: DISABLED

Intel AMT is present
AMT is unprovisioned

Intel AMT is present
AMT is provisioned

O bien usando Nmap con un script NSE

$ wget https://svn.nmap.org/nmap/scripts/http-vuln-cve2017-5689.nse
$ nmap -p 16992 –script http-vuln-cve2017-5689 host
Detección de binarios inusuales que utilizan AMT

Si un atacante que tiene acceso a las credenciales de AMT intenta utilizar el canal de comunicación SOL en un equipo que ejecuta Windows Defender ATP, los análisis de comportamiento junto con el aprendizaje automático pueden detectar la actividad de ataque dirigida. Windows Defender ATP muestra una alerta similar a la que se muestra a continuación. Windows Defender ATP puede diferenciar entre el uso legítimo de AMT SOL y ataques dirigidos que intentan usarlo como un canal de comunicación.

https://2.bp.blogspot.com/-OKV0tpquMKk/WTp6vWo6QqI/AAAAAAAAsPI/tVWAwUiXVKcX7r4MpxRfoXMXzGm68z4kwCLcB/s1600/7b-Windows-Defender-APT-detection.png

Ver información original al respecto en Fuente
http://blog.elhacker.net/2017/06/primer-malware-que-utiliza-vulnerabilidad-intel-AMT-CVE-2017-5689.html

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies