A rosszindulatú programok az Intel processzorok funkcióját használják adatok ellopására és a tűzfalak megakadályozására

A Microsoft biztonsági csapata felfedezett egy új rosszindulatú szoftvert, amely fájlátviteli eszközként kihasználja az Intel Active Management Technology (AMT) soros over-LAN (SOL) felületét.

Az Intel AMT SOL technológia futása miatt a SOL interfész forgalma megkerüli a helyi számítógépes hálózatokat, így a helyileg telepített tűzfalak vagy biztonsági termékek nem tudják felismerni vagy blokkolni a rosszindulatú programokat, miközben adatokat küldenek.

Az Intel AMT SOL rejtett hálózati interfészt tesz közzé

Úgy tűnik, hogy ez azért lehetséges, mert az Intel AMT SOL az Intel ME (Management Engine) része, egy különálló processzor, amely az Intel CPU-jába van beépítve és saját operációs rendszerét működteti.

Az Intel ME akkor is fut, ha a fő processzor ki van kapcsolva, és bár ez a szolgáltatás furcsának tűnhet, az Intel beépítette, hogy távoli felügyeleti képességeket biztosítson a több száz számítógép nagy hálózatát kezelő cégek számára.

A jó hír az, hogy az Intel AMT SOL felület alapértelmezés szerint le van tiltva az összes Intel CPU-n, tehát a PC tulajdonosának vagy a helyi rendszergazdának manuálisan engedélyeznie kell ezt a funkciót. A Microsoft azonban felfedezte a számítógépes kémkedés csoport által létrehozott rosszindulatú programokat, amelyek kihasználják a felületet az adatok ellopására a fertőzött számítógépektől.

A Microsoft nem fedte fel, hogy a PLATINUM néven ismert hackerek titkos módon fedezték-e fel ezt a funkciót a fertőzött számítógépeken, vagy egyszerűen aktívnak találták és úgy döntöttek, hogy használják.

Ezekre a tényekre való tekintettel a Microsoft kijelentette, hogy képes azonosítani a működő rosszindulatú programokat, és kiadott egy frissítést a Windows Defender ATP -hez annak felderítése érdekében, mielőtt hozzáférne az AMT SOL felülethez.