Malware bruger en funktion af Intel-processorer til at stjæle data og forhindre firewalls

Microsofts sikkerhedsteam har opdaget en ny malware, som drager fordel af Intels Active Management Technology (AMT) Serial-over-LAN (SOL) interface som et filoverførselsværktøj.

På grund af Intel AMT SOL-teknologi, der opererer, omgår SOL- interface-trafik lokale computernetværk, så lokalt installerede firewalls eller sikkerhedsprodukter kan ikke registrere eller blokere malware, når de sender data i udlandet.

Intel AMT SOL udsætter en skjult netværksgrænseflade

Dette ser ud til at være muligt, fordi Intel AMT SOL er en del af Intel ME (Management Engine), en separat processor indbygget i Intels CPU'er og kører sit eget operativsystem.

Intel ME kører selv når hovedprocessoren er slukket, og selvom denne funktion kan virke underlig, integrerede Intel den for at give fjernstyringsfunktioner til virksomheder, der administrerer store netværk på hundredvis af computere.

Den gode nyhed er imidlertid, at Intel AMT SOL- grænsefladen er deaktiveret som standard på alle Intel CPU'er, så pc-ejeren eller den lokale systemadministrator skal manuelt aktivere denne funktion. Microsoft har dog opdaget malware oprettet af en cyber-spionagruppe, der drager fordel af grænsefladen til at stjæle data fra inficerede computere.

Microsoft afslørede ikke, om hackere, der tilhører en gruppe kendt som PLATINUM, har fundet en hemmelig måde at aktivere denne funktion på inficerede computere, eller om de simpelthen fandt den aktiv og besluttede at bruge den.

I betragtning af disse kendsgerninger sagde Microsoft, at den var i stand til at identificere malware, der fungerer, og frigav en opdatering til Windows Defender ATP for at opdage den, før den får adgang til AMT SOL-grænsefladen.