Malware utiliza funciones ocultas de Intel Management Engine (ME)

El equipo de seguridad de Microsoft ha descubierto una familia de malware [PDF] usada por un grupo de ciberespionaje llamado "Platinum", y que se aprovecha de una característica de los procesadores Intel para saltar las herramientas de seguridad y robar datos. Sí, de una característica, no de un fallo o de una vulnerabilidad, al menos no en el estricto sentido de la palabra.

Esta familia de malware usa la función SOL (Serial-over-LAN) de la Tecnología de Gestión Activa de Intel (AMT) como una herramienta de transferencia de archivos. Y, gracias a la forma en la que esa tecnología funciona, es capaz de sobrepasar la interfaz de red del sistema local de forma que ninguna herramienta de seguridad instalado puedan detectarlo.

La Tecnología de gestión activa de Intel (AMT) forma parte de Intel Management Engine (ME). Básicamente una tecnología bastante oscura que ha desarrollado Intel en sus procesadores, y que hace que los chips cuenten con un subsistema totalmente independiente del sistema operativo instalado en el ordenador (en realidad es otra computadora)
Intel ME permite, entre otras cosas, gestionar equipos de forma remota. Intel ME se ejecuta incluso cuando el procesador principal está apagado, y ha sido creada por la empresa para ofrecer capacidad de administración remota a empresas que manejan grandes redes con ciento o miles de ordenadores.

Como la interfaz SOL AMT se ejecuta dentro de Intel ME, está separada del sistema operativo y permanece funcional siempre que el ordenador esté conectado físicamente a la red, incluso si está apagado.

Microsoft ha descubierto malware creado por Platinum que abusa de la interfaz SOL AMT para robar datos de los ordenadores infectados. Aunque la función en los procesadores no está activa por defecto, ha sido detectada en malware que afectó a organizaciones y agencias gubernamentales en Asia.

En su reporte, Microsoft también ha dicho que fueron capaces de identificar pistas en la forma que opera el malware que permiten a Windows Defender detectarlo antes de acceda e inicie la interfaz SOL AMT, lo que ofrece a las empresas una advertencia sobre la posible infección. Mientras, Intel solo ha dicho que el grupo Platinum no está aprovechando ninguna vulnerabilidad en la interfaz.

Sobre Platinum

En el último tiempo, Platinum se ha centrado en objetivos asociados con los gobiernos y las organizaciones del sudeste asiático y ha utilizado múltiples vulnerabilidades 0-Day contra sus víctimas. Platinum siempre realiza esfuerzos importantes para ocultar su infecciones mediante la auto-eliminación de los componentes malicioso. Además, utiliza herramientas maliciosas altamente personalizadas y tiene recursos para actualizarlas a menudo, para evitar ser detectado.

Fuente: Bleeping Computer

Via: blog.segu-info.com.ar
Malware utiliza funciones ocultas de Intel Management Engine (ME) Malware utiliza funciones ocultas de Intel Management Engine (ME) Reviewed by Zion3R on 7:11 Rating: 5