Tin tặc lợi dụng công cụ quản lý của Intel để vượt qua tường lửa của Windows

14:56 | 30/06/2017 | LỖ HỔNG ATTT

Microsoft vừa công bố chi tiết một kỹ thuật tinh vi mà một nhóm tin tặc ở Đông Nam Á sử dụng để thông qua công cụ quản lý hợp lệ để qua mặt tường lửa và các hệ thống giám sát mạng dựa vào thiết bị đầu cuối.

Nhóm này được Microsoft đặt tên là PLATINUM, đã phát triển một hệ thống gửi tệp tới các máy tính bị lây nhiễm, chẳng hạn như các hành động phá hoại mới hay một phiên bản mới của mã độc. Kỹ thuật của PLATINUM hoạt động bằng cách lợi dụng Active Management Technology (AMT) của Intel để vượt qua tường lửa có sẵn của Windows. Phần mềm nhúng (firmware) của AMT chạy ở mức thấp, bên dưới hệ điều hành và có thể truy xuất tới cả bộ vi xử lý và giao tiếp mạng.

AMT cần truy cập mức thấp như vậy là để phục vụ những mục đích rất hợp lệ. Ví dụ như nó có thể khởi động máy và thực hiện các chức năng KVM (keyboard/video/mouse) dựa trên IP, cho phép một người ở xa gửi các thao tác chuột và bàn phím tới máy tính đồng thời nhìn thấy những thứ hiển thị trên màn hình. Những khả năng này dùng cho các tác vụ như cài đặt hệ điều hành cho máy tính mới từ xa. Để làm được điều đó, AMT không chỉ cần truy cập giao tiếp mạng mà còn cần giả lập phần cứng, chẳng hạn chuột và bàn phím, để cung cấp đầu vào cho hệ điều hành.

Những hoạt động mức thấp này khiến AMT trở thành điểm yếu dễ bị khai thác cho tin tặc. Lưu lượng mạng mà AMT sử dụng được xử lý hoàn toàn bên trong AMT. Lưu lượng mạng đó không bao giờ đi qua các tầng IP của hệ điều hành và vì thế trở nên vô hình với tường lửa và các phần mềm giám sát mạng. Phần mềm của nhóm PLATINUM dùng cổng serial ảo do AMT cung cấp để tạo ra kết nối giữa mạng và mã độc chạy trong máy tính bị lây nhiễm.

Giao tiếp giữa các máy tính sử dụng serial-over-LAN do phần mềm nhúng của AMT xử lý. Mã độc kết nối tới cổng serial ảo của AMT để gửi và nhận dữ liệu. Trong khi đó, hệ điều hành và tường lửa không hề hay biết. Bằng cách này, mã độc của PLATINUM có thể chuyển các tệp giữa những máy tính trong mạng mà không bị phát hiện.

Tin tặc lợi dụng công cụ quản lý của Intel để vượt qua tường lửa của Windows

Gần đây có thông tin về lỗ hổng cho phép kẻ xấu sử dụng các tính năng của AMT mà không cần biết mật khẩu AMT. Điều này có thể dùng để bật các tính năng như KVM từ xa để kiểm soát các hệ thống và thực thi các lệnh trên đó. Tuy nhiên, nhóm PLATINUM không thực hiện theo cách này. Mã độc của nhóm không lợi dụng bất kỳ lỗi nào của AMT mà chỉ sử dụng AMT đúng như cách nó được thiết kế để thực hiện những hoạt động xấu.

Cả mã độc của PLATINUM và lỗi bảo mật của AMT đều cần ẢMT được kích hoạt trước. Nhưng Microsoft không chắc chắn về việc mã độc của PLATINUM có thể tự kích hoạt AMT hay không. Nếu mã độc có quyền quản trị, nó có thể kích hoạt các tính năng của AMT từ trong Windows, ngược lại nếu AMT đã được kích hoạt trước thì mã độc phải đánh cắp được thông tin đăng nhập.

Dù việc sử dụng AMT để truyền các tệp mà không bị tường lửa phát hiện nhưng điều đó không có nghĩa là không thể bị phát hiện. Việc sử dụng cổng serial của AMT vẫn có thể bị phát hiện. Microsoft cho biết giải pháp Windows Defender Advanced Threat Protection của họ có thể phân biệt việc sử dụng serial-over-LAN hợp pháp và bất hợp pháp. Mặc dù vậy, cách thực hiện của nhóm PLATINUM vẫn là một cách làm tinh vi, có thể qua mặt những biện pháp bảo vệ phổ biến mà chúng ta vẫn dùng để ngăn chặn các hoạt động phi pháp.

‹ › ×

Tin liên quan

Hàng triệu thiết bị có nguy cơ bị tấn công qua lỗ hổng nghiêm trọng trong bộ vi xử lý của Intel

08:00 | 29/11/2017

Vài tháng qua, một số nhóm nghiên cứu đã phát hiện các lỗ hổng trong tính năng quản trị từ xa của Intel được gọi là Management Engine (ME), có thể cho phép kẻ tấn công từ xa kiểm soát hoàn toàn máy tính mục tiêu.

Lựa chọn giải pháp tường lửa cho doanh nghiệp

08:00 | 19/06/2018

Tường lửa (firewall) là một trong những giải pháp đảm bảo an toàn thông tin phổ biến trong các đơn vị/tổ chức. Tuy nhiên, việc lựa chọn sao cho phù hợp và hiệu quả nhất là một vấn đề mà không phải đơn vị/tổ chức nào cũng nắm được. Bài báo này đưa ra những hướng dẫn để lựa chọn những giải pháp tường lửa thích hợp, nhằm đảm bảo an toàn thông tin một cách tốt nhất cho đơn vị/tổ chức và cung cấp danh sách các rủi ro phải đánh giá trước khi quyết định sử dụng giải pháp tường lửa nào đi kèm.

Tin cùng chuyên mục

Gia tăng các hình thức lừa đảo trực tuyến

09:00 | 19/04/2024

Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Thêm vụ tấn công mã hóa dữ liệu giống VnDirect, tin tặc đòi 140 triệu USD

10:00 | 10/04/2024

Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.

Lỗ hổng Opera Myflaw cho phép tin tặc thực thi tệp bất kỳ trên macOS và Windows

09:00 | 13/02/2024

Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.