El equipo de seguridad de Microsoft ha descubierto una familia de malware usada por un prominente grupo de ciberespionaje llamado PLATINUM, y que se aprovecha de una característica de los procesadores Intel para saltar la seguridad del cortafuegos y robar datos. Sí, una característica, no un fallo o vulnerabilidad, al menos no en el estricto sentido de la palabra.
Esta familia de malware usa la función SOL (Serial-over-LAN) de la Tecnología de gestión activa de Intel (AMT) como una herramienta de transferencia de archivos. Y gracias a la forma en la que esa tecnología funciona, es capaz de sobrepasar la interfaz de red del ordenador local de forma que ni el firewall, ni cualquier producto de seguridad instalado puedan detectarle.
La inquietante CPU que controla nuestros procesadores sin que lo sepamos
La Tecnología de gestión activa de Intel (AMT) forma parte de Intel Management Engine (ME). Básicamente una tecnología bastante oscura que ha desarrollado Intel en sus procesadores, y que hace que los chips cuenten con un subsistema totalmente independiente del sistema operativo instalado en el ordenador.
Intel ME permite, entre otras cosas, gestionar equipos de forma remota. Intel ME se ejecuta incluso cuando el procesador principal está apagado, y ha sido creada por la empresa para ofrecer capacidad de administración remota a empresas que manejan grandes redes con ciento o miles de ordenadores.
Como la interfaz SOL AMT se ejecuta dentro de Intel ME, está separada del sistema operativo y permanece funcional siempre que el ordenador esté conectado físicamente a la red, incluso si está apagado.
Microsoft ha descubierto malware creado por PLATINUM que abusa de la interfaz SOL AMT para robar datos de los ordenadores infectados. Aunque la función en los procesadores no está activa por defecto, ha sido detectada en malware que afectó a organizaciones y agencias gubernamentales en Asia.
En su reporte, Microsoft también ha dicho que fueron capaces de identificar pistas en la forma que opera el malware que permiten a Windows Defender detectarlo antes de acceda e inicie la interfaz SOL AMT, lo que ofrece a las empresas una advertencia sobre la posible infección. Intel solo ha dicho que el grupo PLATINUM no está aprovechando ninguna vulnerabilidad en la interfaz.
Vía | Bleeping Computer
En Xataka | Intel soluciona una vulnerabilidad crítica de sus CPUs empresariales 10 años después de su aparición
Ver 3 comentarios