Технологию Intel AMT использовали для атаки на Windows
Компания Microsoft обнаружила, что хакеры научились использовать технологию Intel Active Management Technology (AMT) для обхода Брандмауэра Windows. Это первый случай, когда вредоносное программное обеспечение использует возможности, встроенные непосредственно в процессоры и чипсеты.
Технология Intel AMT применяется в процессорах и чипсетах Intel vPro. Одна из ее возможностей – удаленная установка операционных систем. Хакеры приспособили эту функцию для своих нужд, разработав инструмент для передачи файлов, который использует канал Serial-over-LAN (SOL) в AMT. Этот канал предназначен для обмена данными независимо от операционной системы, что хакеры успешно использовали для доступа к удаленному компьютеру в обход брандмауэра и средств мониторинга сетевой активности.
К счастью, канал SOL отключен по умолчанию, а для работы через него требуются права администратора. В Microsoft предполагают, что участники группы PLATINUM каким-то образом получили имена пользователей и пароли для доступа к удаленным компьютерам своих жертв. Пострадал ряд организаций в Юго-Восточной Азии.
Хорошая новость заключается в том, что у корпоративных пользователей, которые являются главной целью для таких атак, есть возможность от них защититься с помощью сервиса Windows Defender ATP для Windows 10. Он умеет отличать легитимное использование AMT SOL от неразрешенного.
