Les logiciels malveillants utilisent une fonctionnalité des processeurs Intel pour voler des données et empêcher les pare-feu

L'équipe de sécurité de Microsoft a découvert un nouveau malware qui tire parti de l'interface Serial-LAN (SOL) de la technologie Active Management Technology (AMT) d'Intel en tant qu'outil de transfert de fichiers.

En raison de l' exécution de la technologie Intel AMT SOL, le trafic de l'interface SOL contourne les réseaux informatiques locaux, de sorte que les pare-feu ou produits de sécurité installés localement ne peuvent pas détecter ou bloquer les logiciels malveillants lors de l'envoi de données à l'étranger.

Intel AMT SOL expose une interface réseau cachée

Cela semble possible car Intel AMT SOL fait partie de Intel ME (Management Engine), un processeur séparé intégré aux processeurs Intel et exécutant son propre système d'exploitation.

Intel ME fonctionne même lorsque le processeur principal est éteint, et bien que cette fonctionnalité puisse sembler étrange, Intel l'a incorporée pour fournir des capacités de gestion à distance aux entreprises gérant de grands réseaux de centaines d'ordinateurs.

Cependant, la bonne nouvelle est que l'interface Intel AMT SOL est désactivée par défaut sur tous les processeurs Intel, de sorte que le propriétaire du PC ou l'administrateur système local doit activer manuellement cette fonctionnalité. Cependant, Microsoft a découvert un malware créé par un groupe de cyber-espionnage qui profite de l'interface pour voler des données sur des ordinateurs infectés.

Microsoft n'a pas révélé si des pirates informatiques, appartenant à un groupe appelé PLATINUM, ont trouvé un moyen secret d'activer cette fonctionnalité sur des ordinateurs infectés, ou s'ils l'ont simplement trouvée active et ont décidé de l'utiliser.

Compte tenu de ces faits, Microsoft a déclaré qu'il était en mesure d'identifier le fonctionnement du logiciel malveillant et a publié une mise à jour pour Windows Defender ATP afin de le détecter avant qu'il n'ait accès à l'interface AMT SOL.