Malware verwendet eine Funktion von Intel-Prozessoren, um Daten zu stehlen und Firewalls zu verhindern

Das Sicherheitsteam von Microsoft hat eine neue Malware entdeckt, die die Serial-over-LAN-Schnittstelle (SOL) der Intel Active Management Technology (AMT) als Dateiübertragungstool nutzt.

Aufgrund der laufenden Intel AMT SOL-Technologie umgeht der SOL- Schnittstellenverkehr lokale Computernetzwerke, sodass lokal installierte Firewalls oder Sicherheitsprodukte beim Senden von Daten ins Ausland keine Malware erkennen oder blockieren können.

Intel AMT SOL stellt eine versteckte Netzwerkschnittstelle bereit

Dies scheint möglich zu sein, da Intel AMT SOL Teil der Intel ME (Management Engine) ist, einem separaten Prozessor, der in die Intel-CPUs integriert ist und ein eigenes Betriebssystem ausführt.

Intel ME läuft auch, wenn der Hauptprozessor ausgeschaltet ist, und obwohl diese Funktion seltsam erscheint, hat Intel sie integriert, um Unternehmen, die große Netzwerke mit Hunderten von Computern verwalten, Remoteverwaltungsfunktionen bereitzustellen.

Die gute Nachricht ist jedoch, dass die Intel AMT SOL- Schnittstelle auf allen Intel-CPUs standardmäßig deaktiviert ist, sodass der PC-Besitzer oder der lokale Systemadministrator diese Funktion manuell aktivieren muss. Microsoft hat jedoch Malware entdeckt, die von einer Cyberspionagegruppe erstellt wurde, die die Schnittstelle nutzt, um Daten von infizierten Computern zu stehlen.

Microsoft hat nicht bekannt gegeben, ob Hacker, die zu einer Gruppe namens PLATINUM gehören, einen geheimen Weg gefunden haben, um diese Funktion auf infizierten Computern zu aktivieren, oder ob sie sie einfach als aktiv empfunden und beschlossen haben, sie zu verwenden.

Angesichts dieser Tatsachen gab Microsoft an, den Betrieb der Malware identifizieren zu können, und veröffentlichte ein Update für Windows Defender ATP, um es zu erkennen, bevor es Zugriff auf die AMT SOL-Schnittstelle erhält.