Malware utilitza una funció dels processadors intel per robar dades i evitar els tallafocs

L'equip de seguretat de Microsoft ha descobert un nou malware que aprofita la interfície Active Management Technology (AMT) Serial-over-LAN (SOL) d'Intel com a eina de transferència d'arxius.

A causa de el funcionament de la tecnologia AMT SOL d'Intel, el trànsit de la interfície SOL esquiva les xarxes de l'ordinador local, de manera que els tallafocs o productes de seguretat instal·lats localment no podrien detectar ni bloquejar el malware mentre envia dades a l'exterior.

Intel AMT SOL exposa una interfície de xarxa oculta

A l'sembla, això és possible pel fet que Intel AMT SOL forma part de l'Intel ME (Management cerca), un processador separat integrat en les CPUs d'Intel, i que executa el seu propi sistema operatiu.

Intel ME s'executa fins i tot quan el processador principal es troba apagat, i encara que aquesta funció sembli rara, Intel la va incorporar per tal de subministrar capacitats d'administració remota a les empreses que gestionen grans xarxes de centenars d'ordinadors.

No obstant això, la bona notícia és que la interfície Intel AMT SOL ve desactivada per defecte en totes les CPUs de Inte l, de manera que l'amo de el PC o l'administrador de sistema local ha d'habilitar aquesta funció manualment. No obstant això, Microsoft ha descobert un malware creat per un grup de ciber-espionatge que aprofita la interfície per robar dades dels ordinadors infectats.

Microsoft no va revelar si els hackers, pertanyents a un grup conegut com PLATINUM, han trobat una manera secreta d'habilitar aquesta funció en els equips infectats, o si simplement la van trobar activa i van decidir usar-la.

Davant aquests fets, Microsoft va dir que va ser capaç d'identificar el funcionament de l'malware i va llançar una actualització per a Windows Defensar ATP per tal de detectar-lo abans que obtingui accés a la interfície AMT SOL.