Un malware détourne la technologie AMT d’Intel pour masquer ses communications
It's not a bug, it's a feature
Le 12 juin 2017 à 14h00
5 min
Internet
Internet
Le groupe de pirates Platinum sait utiliser l’AMT d’Intel pour la retourner contre les entreprises qui s’en servent. Contrairement aux soucis précédents avec cette technologie, il ne s’agit pas cette fois de failles de sécurité, mais d’un véritable détournement de ses fonctions.
Début mai, Intel corrigeait une importante faille de sécurité dans sa technologie AMT. L’Active Management Technology est une pile de traitement prenant appui sur le Management Engine, lui-même présent dans les processeurs Intel depuis environ dix ans. AMT fournit aux ordinateurs, lorsqu’elle est active, des fonctionnalités de gestion distante pour faire gagner du temps aux administrateurs. Elle fait partie de l'ensemble vPro.
Comme nous l’expliquions le mois dernier, l’AMT utilise pour communiquer les ports 16992 et 16993. Les communications sont directes, la machine ne voyant pas transiter les paquets de données, que le système d’exploitation soit Windows ou Linux (la technologie prend les deux en charge). Le responsable du réseau peut se servir d’une console web pour lancer des opérations de maintenance ou de virtualisation.
Mais alors qu’il s’agissait d’une faille de sécurité dont l’exploitation représentait un vrai risque pour les serveurs, on parle cette fois d’un détournement de fonctionnalités existantes, pour voler des données.
Aucune vulnérabilité nécessaire cette fois
Microsoft indique sur son blog de sécurité que le groupe de Platinum, qui est loin d’en être à son coup d’essai, a développé une technique visant à se servir d’AMT pour couvrir ses traces, et en particulier d’une fonctionnalité bien précise : Serial-over-LAN.
Elle n’est clairement pas utile partout, car elle permet la manipulation de cartes réseau par le port série. Il ne s’agit en dépit des apparences pas d’une vieille technologie, Intel expliquant notamment dans une page dédiée qu’à l’inverse, il devient possible de contrôler le curseur de la souris alors même que tous les pilotes ont été désactivés. Plus globalement, un PC peut être manipulé indépendamment de tout système d’exploitation, AMT étant parfaitement autonome.
Serial-over-LAN est en fait une solution dite « KVM sur IP », KVM signifiant « keyboard, video and mouse ». Une entreprise peut s’en servir pour installer à distance un système d’exploitation.
Dans le cas présent, Serial-over-LAN est utilisé pour couvrir les traces d’un malware qui aurait réussi à s’infiltrer avant, et non pour provoquer l'infection d'une machine ou d'un réseau. Conséquence, toutes ses communications transitent via AMT, y compris le vol de données, Microsoft précisant que c’est bien l’objectif derrière tant de discrétion.
Une attaque qui ne peut qu'en signaler une autre
Contrairement à d'autres cas symptomatiques que l'on a pu observer dernièrement en matière de sécurité – notamment dans les caméras connectées Foscam – Intel a travaillé la sécurité de son produit. Aussi, l’ouverture du canal de communication Serial-over-LAN ne peut se faire non seulement qu’avec un identifiant et un mot de passe, mais n’est en plus pas activée par défaut.
Mais puisque Microsoft a détecté des attaques utilisant ce vecteur, l’éditeur en déduit que les pirates avaient récupéré les identifiants d’une autre manière. Puisqu’on ne parle toujours pas de faille de sécurité, on a donc affaire à une campagne en deux temps. Microsoft suggère que les entreprises concernées ont peut-être des faiblesses dans leurs réseaux, qui auraient pu permettre ce vol d’informations.
Les pirates se sont servis d’un outil maison faisant appel à l’API Redirection Library (imrsdk.dll), contenue dans le SDK (Software Developement Kit) d’AMT. Toutes les transactions de données sont réalisées via deux méthodes, nommées IMR_SOLSendText() et IMR_SOLReceiveText(), qui sont les équivalents des appels réseau send() and recv(). Microsoft indique que pour le reste, le protocole SOL est pratiquement identique à TCP, si l’on met de côté un en-tête de taille variable ajouté pour la détection d’erreurs.
Une détection par le comportement
Évidemment, comme tout éditeur de solution de sécurité, Microsoft aborde cette menace pour deux raisons : informer de la découverte d’une technique, et mettre en avant sa propre solution, Advanced Threat Protection. Cette dernière, essentiellement disponible dans les entreprises, sait faire selon son développeur la différence entre un trafic SOL légitime et celui signalant une attaque en cours.
Outre l’inévitable aspect publicitaire, Microsoft indique toutefois qu’il s’agit du premier malware détecté à détourner une fonctionnalité reposant sur une technologie intégrée dans un processeur/chipset. La technique est qualifiée d’« ingénieuse » car la seule détection réseau serait inopérante pour la mettre en lumière, le système d'exploitation ne pouvant voir ce qui transite via AMT.
Le billet de l’éditeur met finalement en évidence le détournement d’une technologie dans un réseau compromis d’une autre manière. Il n’y a donc pas de mise à jour de sécurité à attendre. Les administrateurs concernés devront cependant faire attention à la gestion des identifiants du canal SOL, dans le cas où cette solution serait active dans la structure.
Un malware détourne la technologie AMT d’Intel pour masquer ses communications
-
Aucune vulnérabilité nécessaire cette fois
-
Une attaque qui ne peut qu'en signaler une autre
-
Une détection par le comportement
Commentaires (43)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 12/06/2017 à 14h10
Waou, c’est monstrueux comme manière détournée.. j’ai absolument rien compris aux liens entre AMT, la carte réseau désactivée et la présence d’un port série qui ne semble que virtuel, mais je trouve que le résultat final est bluffant.
2 questions cependant :
1/ Est-ce que ça signifie qu’on ne voit rien passer avec un Wireshark, puisque l’interface réseau est désactivée ?
2/ Et ça signifie aussi qu’il ne sert à rien de fermer les ports 16992 et 16993 via un pare-feu ?
Le 12/06/2017 à 14h12
Le 12/06/2017 à 14h14
Si j’ai bien compris
L’OS de la machine ‘piratée’ ne voit rien. Mais les données passent tout de même quelque part
Donc :
Si j’ai bien compris (j’insiste
Le 12/06/2017 à 14h19
Le 12/06/2017 à 14h24
De manière générale Intel n’est pas à sa place avec ce type de solutions de “sécurité” qui contourne l’OS en effectuant des opérations sur le réseau. Ils n’apportent rien qui ne pourrait être fait en logiciel dans l’OS host, et cassent la sandbox de protections et paramétrages apportée par l’OS (carte réseau désactivée etc.).
Le 12/06/2017 à 14h27
@NXI :
Mon dieu, l’intégration du lecteur HTML5 est une véritable pompe à données personnelles !!
Ghostery fume de partout sur cette page : 28 mouchards détectés et 5 analyseurs de sites… Moi qui désactivais Ghostery sur votre domaine en me pensant en confiance…
Le 12/06/2017 à 14h27
Et un grand merci à INTEL pour avoir incorporé un mini-OS propriétaire directement dans ses CPU.
" />
Un mini-Os qui, rappelons le, tourne en ring -3 (plus bas tu meurs) et qui est actif même si votre PC est éteint (sleep ou soft-off).
Le 12/06/2017 à 14h31
L’AMT doit être configuré au niveau du matériel du serveur, avec identifiants et mot de passe.
" />
Il n’apparait pas tout seul et la fonctionnalité se paie.
1/ La carte ethernet de l’OS ne voit rien.
2/ ça implique que le pirate a eu un accès physique BIOS. le port ouvert n’est “plus si grave”
Le 12/06/2017 à 14h32
Le 13/06/2017 à 09h15
“Ya plus de processeurs concernés que ce que je pensais”
Cherche AMD PSP tu va rire :/
Le 13/06/2017 à 09h38
Bon, alors quelle solution à prix abordable existe pour chez soi ? Un pare-feu physique juste derrière la box, qui ne laisse passer que la dizaine de ports nécessaire ? Sans débourser 2 mois de salaire ?
Le 13/06/2017 à 10h27
La solution la moins chère: ne pas prendre une carte mère avec AMT.
Le 13/06/2017 à 10h29
Le 13/06/2017 à 11h33
Oui sauf que comment je sais ça si je ne connais pas la fonctionnalité ? Il y a forcément des identifiants par défaut (au mieux) ou un login-free (au pire) non ?
Et comment sait-on si AMT est géré selon les CPU et selon les chipsets ?
Le 13/06/2017 à 11h52
Je crois que c’est mis dans la news mais je retrouve plus où mais, par défaut c’est désactivé.
" />
Faut l’activer dans le BIOS.
Ensuite, si tu veux bloquer les ports depuis l’extérieur (bon, je pense pas que ce soit de l’UPnP donc le port ne s’ouvre pas magiquement non plus il doit être fermé par défaut), en effet, un pare-feu est un bon plan.
Il existe plusieurs routeurs/parefeu, sur lesquels tu peux être assez confiant (plus que ta box mais cest pas dur)
Les EdgeRouter de chez Ubiquiti par exemple. Mais c’est pas libre donc certains te diront que cest backdooré.
Sinon tu peux chercher du côté de PfSense, Vyatta (ca existe encore? c’est libre?)
Sinon tu fait tout from scratch à partir d’une Debian, ou mieux, d’un OS que tu auras codé toi-même et sur du matos que tu auras concu comme un grand
Le 13/06/2017 à 12h07
Les produits Ubiquiti ça coûte un bras c’est monstrueux… tu ne peux pas proposer ce genre d’équipement au quidam.
Le 13/06/2017 à 12h11
heu.. 60€ c’est monstreux?
Le quidam moyen achète un iPhone à 500€ mais n’a pas les moyens d’acheter un routeur à 60€?
Tu m’aurais parler de la configuration je taurais dit oui; tu parles du prix je suis pas d’accord du tout..
Le 13/06/2017 à 12h15
60 € ? je vois plutôt des produits à 300 euros minimum… tu parles de quoi du coup ?
Le 13/06/2017 à 12h20
Ubiquiti EdgeRouter X => 60€
Pas sur que tu puisses faire modem/routeur avec mais firewall c’est sur.
Pour 120€ tu as le edgeRouter Lite 3 qui lui fait le café (presque)
Le 13/06/2017 à 14h38
Oula, non, surtout pas ubiquiti. La sécurité est assez défaillante (et surtout, pas gérée). Remplacer sa box par ça est assez inutile.
Si tu veux un truc sérieux et pas mité, le meilleur choix est plutôt ceci. Ça coûte cher, mais au moins ça les vaut vraiment.
Le 13/06/2017 à 15h42
Cest pas cool de me tenter comme ca!
Le 1G sans Wifi est à 220€..
Ca fait modem ADSL aussi ou je suis obligé de laissé ma box faire la translation ADSL/Ethernet?
Le 13/06/2017 à 15h48
Le 14/06/2017 à 08h58
Il y a des routeurs / points d’accès Mikrotik à partif de 30€.
" />
Le 14/06/2017 à 12h50
Pas assez cher pour être pris au sérieux
" />
Le 14/06/2017 à 13h30
Je bosse dessus et je peux te dire que c’est très sérieux.
" />
" />
Le firmware est tout simplement de la balle.
Tu peux prendre un routeur Gigabit 12 ports à 1300€
PS: si tu le scriptes comme il faut, il peut ouvrir une URL en ftp ou https et donc faire du café
Le 12/06/2017 à 14h43
Ca apporte justement la possibilité d’accéder a un serveur sans recourir à l’OS host.
=> un accès “console” homogène sur tous les serveurs (windows, linux, ou même sans-rien).
C’est l’équivalent des boitiers LAN/Serie qu’on branchait au cul des serveurs/routeurs pour administrer l’appareil à distance. Sauf que c’est inclus de base dans le CPU.
Le 12/06/2017 à 15h16
Précision, comme le réseau n’est pas nécessaire les pare feu n’y voie … que du feu eux aussi. Donc un canal non controlable, directement intégré dans les proc, a part un bon routeur bien configurer pourra protéger.
Le 12/06/2017 à 15h41
Du coup, il se passe quoi si on installe pas les pilotes Intel ?
Parce que bon, il faut quand même un minimum pour que ça interagisse avec l’OS, non ?
Le 12/06/2017 à 15h44
“Plus globalement, un PC peut être manipulé indépendamment de tout système d’exploitation, AMT étant parfaitement autonome.”
Tu as ta réponse, non ? :)
Le 12/06/2017 à 15h49
Le 12/06/2017 à 15h49
Effectivement, j’avais oublié ce point là. En même temps, c’est plutôt logique, étant donné que l’OS a besoin du processeur (position d’intermédiaire dans la chaine) pour effectuer les opérations, inutile de douter qu’il peut faire ça de lui-même …
Le pilote doit juste servir à la première configuration donc.
Et sinon, ce tour de passe-passe fonctionne en wifi aussi (avec ports USB alimentés) ou c’est impérativement Ethernet ?
Parce que j’imagine que si tous les équipements d’un réseau sont basés sur du Intel (téléphone, tablette, PC, PC portable), ça doit faire pas mal de dégâts sans que personne ne s’en rendent compte.
Le 12/06/2017 à 17h56
AMT est un truc pour les entreprises. Il n’est dispo que sur les processeurs flaggués vPro.
Pour le moment ce n’est donc pas tous les processeurs qui sont concernés.
AMT n’étant de plus d’aucun intérêt sur des machines nomades (c’est utilisé pour des déploiements dOS à distance principalement) on peut espérer ne jamais lavoir actif dans nos outils perso
Le 12/06/2017 à 18h25
Le 12/06/2017 à 20h37
AMT est sur les postes de travail aussi via vPro. C’est comme du HP ilo ou Dell RAC, tant que la machine est connectée au réseau et avec une alimentation électrique de branchée, cela fonctionne (sous réserve AMT activé toussa toussa).
Un beau détournement en tout cas.
Le 12/06/2017 à 22h04
My bad, you’re right
" /> Ya plus de processeurs concernés que ce que je pensais (faut plutôt chercher ceux qui ne le sont pas en fait..)
Ceci étant, je maintiens que :
“AMT est un truc pour les entreprises” => le particulier n’a aucun intérêt. Ou alors besoin très specifique
“Il n’est dispo que pour les processeurs flaggués vPro” => AMT fait parti des features vPro
“Pour le moment ce n’est donc pas tous les processeurs qui sont concernés.” => tous les processeurs qui sortent ne sont pas flaggués vPro
Mes affirmations n’étaient pas fausses.
Le tout en revanche n’était pas cohérent en réponse à la question posée.
Le 12/06/2017 à 22h50
Jusqu’a récemment c’est vrai que vPro n’était que sur les serveurs. Donc pas d’inquiétude pour les PC domestiques.
Mais maintenant, vPro est sur les solutions estampillées “business”, et ca inclut les laptop, ultrabook, All-In-Ones, mini-pc, ….
C’est de moins en moins cantonné au back-office.
Le 13/06/2017 à 06h41
En tout cas, ça aura le mérite de mettre en lumière le fait que oui, c’est important de savoir que le matériel aussi peut réfléchir tout seul…
Le 13/06/2017 à 08h00
L’amt est une fonction de l’intel Management Engine (Intel ME)
L’intel ME boot avec le hardware il a sa propre carte réseaux séparer et un access complet a la RAM et périphérique etc….
Il boot in Mini OS (son noyau d’ailleurs c’est mimix3) dont les fonctions diverse est varier vont nous pourrir l’existence.
Stallman avait raison.
Soit on a le contrôle de soit PC soit on ne l’a pas.
Pour ceux qui cherche du matos sur lequel on a retirer L’intel ME, c’est par ici:
https://store.vikings.net/libre-friendly-hardware
Le 13/06/2017 à 08h17
Mais du coup, ça signifie que si les 2 ports en question sont ouverts sur une box, on peut démarrer à distance ta machine perso, pomper n’importe quels fichiers du disque dur, et l’éteindre ensuite, tout ça pendant que t’es pas chez toi et que tu ne te seras jamais rendu compte de rien ?
Le 13/06/2017 à 09h03
“et que tu ne te seras jamais rendu compte de rien ?
”
Oui
Ça fait depuis 2004 environ que le monde du logiciel libre et les expert en sécurité ont prévenue Intel (et AMD a commencer récemment avec son PSP) et essaie de prévenir le public mais bizarrement le message ne passe pas.
j’ai l’impression qu’une catastrophe énorme dois arriver pour qu’il y ai une réaction quelconque.
Ça peut aller bien plus loin que tes exemples.
Imagine le contrôle total de ta machine en clair a distance.
Le gars peut utiliser PGP qu’est ce ca peut faire puisqu’ils peuvent pomper directement dans la RAM.
Ou encore ajouter des fichiers t’incriminent de pédophilie ou autre.
Ils peuvent aussi utiliser les ressources de ta machine comme n’importe quelle botnet pour X calcul ou encore DDOS un adversaire.
On suspect d’ailleurs que une partie du réseaux a était utiliser en octobre 2016 pour des attacks ddos.
Recherche par toit même les événement d’octobre 2016 concernant wikileaks beaucoup trop de chose/coïncidences se sont manifester :‘(
Le 13/06/2017 à 09h08
Test avec umatrix c’est aussi fun ^^
Le 14/06/2017 à 18h08
Ya des mikrotik qui intègre le modem ADSL?
Ou faut toujours sa box en bridge en front?
Le 15/06/2017 à 08h27
Pas de modem adsl intégré, non. Donc obligation de garder la box…