マイクロソフトは、インテルのアクティブ・マネジメント・テクノロジーを悪用する新たな方法、今回はビジネス LAN を介して感染したマシン間でメッセージを渡す方法に対して警告を発している。
マイクロソフトによれば、これまでのところ、この攻撃(2016 年の Platinum ファイル転送ツールの亜種を使用)はアジアでのみ確認されており、幸いなことに、攻撃者がシステム管理者を騙して管理者の資格情報を提供させた場合にのみ悪用される可能性があるという。
レドモンド氏が指摘するように、この新たな攻撃手法は新たな攻撃ベクトルを生み出すものではなく、「すでに侵害を受けている標的ネットワーク内で AMT SOL を悪用し、通信をステルス状態に保ち、セキュリティ アプリケーションを回避する」というものである。
悪用されている機能は AMT の Serial-over-LAN (SOL) であり、ホスト オペレーティング システムから独立しているため、攻撃者にとって魅力的です。
これは独立したスタンドアロンファイアウォールでは検出できますが、ホストベースのファイアウォールでは検出されません。攻撃者にとってもう一つの魅力は、内蔵プロセッサが、メインプロセッサの電源がオフの場合でも、電源オン/オフやKVMなどのリモート帯域外機能を提供できるように設計されていることです。
SOL は、ホスト上でネットワークが有効になっているかどうかに関係なく、物理接続が存在する場合は LAN 経由で通信することもできます。
Microsoft はまた、Platinum が AMT が有効になっていないシステムに感染した場合、盗まれた管理者の資格情報とテクノロジのホストベースのプロビジョニングを利用して、独自の資格情報で AMT のサブセット (SOL を含む) を起動できるという仮説も提示しています。
盗まれた資格情報と完全な ATM アクセスを使用するか、ホストベースのプロビジョニングされたマシンによって提供される制限付きアクセスを使用するかにかかわらず、Platinum は SOL を悪用して LAN 経由でマルウェアを転送しました。
AMTのシリアルオーバーLANチャネルを利用できる場合、オペレーティングシステムはそれを認識しません。
マイクロソフトは、インテルと協力してプラチナ亜種を分析し、Windows Defender ATP でその活動を検出できると述べている。
Intel の AMT は、3 月に初めて発見された管理テクノロジの重大な脆弱性が公開されたため、5 月に歓迎されない注目を集めました。®
