Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1018
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
junio
(Total:
21
)
- Encuentran fallo en el microcódigo de los procesad...
- Dos personas arrestadas en Inglaterra por acceder ...
- Cinco alumnos detenidos por hackear correos de pro...
- El gobierno mexicano utiliza software espía contra...
- La Unión Europea quiere hacer obligatorio el uso d...
- GPS para montañeros: OruxMaps
- Marea: el cable de fibra óptica de mayor capacidad...
- Cherry Blossom: la herramienta de la CIA para hack...
- El fundador de Telegram asegura que el FBI le ofre...
- Novedades del software libre: Nmap, WordPress, Fir...
- Actualizaciones de seguridad para productos Adobe ...
- Solo el 8% de las chicas de 15 años quiere estudia...
- Disponible Tor Browser 7.0
- Primer malware que utiliza vulnerabildad en Intel AMT
- Malware en PowerPoint sin usar Macros, JScript o V...
- Múltipes y graves vulnerabilidades en cámaras IP d...
- El rastro de una impresora delata a la persona que...
- La justicia alemana niega a unos padres el acceso ...
- 250 millones de ordenadores infectados por el malw...
- Cancelan crowdfunding para comprar exploits de la ...
- ¿El sobrecalentamiento de un iPhone es la causa de...
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Primer malware que utiliza vulnerabildad en Intel AMT
viernes, 9 de junio de 2017
|
Publicado por
el-brujo
|
Editar entrada
Hace apenas un mes se dió a conocer un importante fallo de seguridad en el Active Management Technology (AMT) de Intel, que permite tomar el control de los ordenadores que utilizan dicha tecnología, mediante una escalada de privilegios. Ahora, un grupo conocido como "Platinum", ha encontrado una manera
de ocultar sus actividades maliciosas mediante dicha vulnerabilidad. La vulnerabilidad, con CVE-2017-5689, afecta a las tecnologías de gestión remota de Intel, incluidas el Active Management Technology (AMT), Intel Standard Manageability (ISM), e Intel Small Business Technology (SBT).
Un grupo de ciberespionaje conocido como "Platinum", que está dirigido activamente a organizaciones gubernamentales, institutos de defensa y proveedores de telecomunicaciones desde al menos el año 2009, ha encontrado una manera de ocultar sus actividades maliciosas de mecanismos de protección basados en host.
Microsoft ha descubierto recientemente que el grupo de ciberespionaje está ahora aprovechando el canal de Serial-over-LAN (SOL) de Active Management Technology (AMT) de Intel como una herramienta de transferencia de archivos para robar datos de los equipos objetivo sin ser detectados.
Además, como el tráfico SOL pasa por alto la pila de red de host, no puede ser bloqueado por las aplicaciones de firewall que se ejecutan en el dispositivo host.Para habilitar la funcionalidad SOL, el dispositivo AMT debe ser aprovisionado.
La interfaz web de Intel AMT funciona incluso cuando el sistema está apagado, siempre y cuando la plataforma esté conectada a una línea de alimentación y un cable de red, ya que opera independientemente del sistema operativo.
A diferencia de la falla de autenticación remota descubierta el mes pasado, que permitió a los piratas informáticos tomar el control total de un sistema utilizando las funciones de AMT sin necesidad de ninguna contraseña, Platinum no explora ninguna falla en AMT, por lo que requiere que AMT esté habilitado en sistemas infectados.
Microsoft señala que la sesión de SOL requiere un nombre de usuario y una contraseña, por lo que el grupo de hacking está usando credenciales robadas para que su malware se comunique de forma remota con los servidores C & C o "durante el proceso de aprovisionamiento, PLATINUM puede seleccionar el nombre de usuario y la contraseña que deseen".
El grupo de hacking Platinum ha estado usando explotaciones de día cero, técnica de remiendo caliente y otras tácticas avanzadas para penetrar en sus sistemas y redes de destino en países del sur de Asia, pero esta es la primera vez que alguien está abusando de las herramientas de administración legítimas para evadir la detección.
Microsoft dijo que ya ha actualizado su propio software de Protección Avanzada de Amenazas de Windows Defender (Windows Defender ATP) alertará a los administradores de la red de cualquier intento malicioso de usar AMT SOL, pero solo para sistemas que ejecutan el sistema operativo Windows.
Se trata de un subsistema que reside en el firmware de muchos de sus procesadores y que permite realizar conexiones remotas sin depender del sistema operativo, con el objetivo de llevar a cabo operaciones de monitorización,reparación,o actualización.
AMT es capaz de burlar cualquier firewall o medida de protección presente en nuestro sistema, incluso –bajo ciertas condiciones– el secure boot.
Esto significa que cuando AMT está habilitado, cualquier paquete enviado al puerto de red por cable de la PC será redirigido al Management Engine y transmitido a AMT. El sistema operativo, así como las aplicaciones de monitoreo de red instaladas en un sistema, nunca saben lo que está pasando .
Además, los sistemas Linux con chips de Intel y AMT habilitados también pueden estar expuestos al malware de Platinum.
Cuando compramos un ordenador con una placa base para Intel compatible con procesadores x86, como parte del chipset, estamos recibiendo un controlador llamado Intel Management Engine (ME). Este controlador es el encargado de controlar la CPU principal y funciona de forma independiente al procesador, incluso cuando el equipo se encuentra en estado de suspensión. En algunos chipsets se utiliza un firmware especial llamado Active Management Technology (AMT) para controlar el chip ME. Este firmware funciona de forma totalmente transparente al sistema operativo y se ejecuta siempre en el más bajo nivel, independientemente del sistema operativo o el software utilizado.
La principal finalidad del AMT es poder administrar los ordenadores de forma remota las funciones básicas del ordenador accediendo directamente a la memoria del controlador ME a través del protocolo TCP/IP.
Afecta a Active Management Technology AMT y otras tecnologías de Intel como Standard Manageability (ISM) y Small Business Technology (SBT) agrupadas en la plataforma vPro, en sus versiones de firmware de 6 a 11.6 (desde 2010).
Es un problema descubierto ahora, pero que se lleva arrastrando desde hace 10 años, aunque se desconoce si ha llegado a explotarse en algún momento. El hecho de ser código cerrado también dificulta saber el alcance exacto de la vulnerabilidad.
Aunque en Intel quieren reducir daños restringiendolo al ámbito profesional y no al de la computación personal o de ocio, es posible que si tenéis un equipo relativamente reciente venga por defecto con esa tecnología. Dependiendo del fabricante puede venir o no habilitado.
Usuarios de Linux:
AMT status checker for Linux:
O bien usando Nmap con un script NSE
Si un atacante que tiene acceso a las credenciales de AMT intenta utilizar el canal de comunicación SOL en un equipo que ejecuta Windows Defender ATP, los análisis de comportamiento junto con el aprendizaje automático pueden detectar la actividad de ataque dirigida. Windows Defender ATP muestra una alerta similar a la que se muestra a continuación. Windows Defender ATP puede diferenciar entre el uso legítimo de AMT SOL y ataques dirigidos que intentan usarlo como un canal de comunicación.
Fuentes:
http://lamiradadelreplicante.com/2017/05/02/descubierta-importante-vulnerabilidad-en-el-amt-de-intel/
https://www.redeszone.net/2016/06/16/descubren-una-nueva-backdoor-los-procesadores-intel-x86-imposible-eliminar/
http://thehackernews.com/2017/06/intel-amt-firewall-bypass.html
Utilización de la herramienta Intel AMT para evadir el firewall
Un grupo de ciberespionaje conocido como "Platinum", que está dirigido activamente a organizaciones gubernamentales, institutos de defensa y proveedores de telecomunicaciones desde al menos el año 2009, ha encontrado una manera de ocultar sus actividades maliciosas de mecanismos de protección basados en host.
Microsoft ha descubierto recientemente que el grupo de ciberespionaje está ahora aprovechando el canal de Serial-over-LAN (SOL) de Active Management Technology (AMT) de Intel como una herramienta de transferencia de archivos para robar datos de los equipos objetivo sin ser detectados.
Además, como el tráfico SOL pasa por alto la pila de red de host, no puede ser bloqueado por las aplicaciones de firewall que se ejecutan en el dispositivo host.Para habilitar la funcionalidad SOL, el dispositivo AMT debe ser aprovisionado.
La interfaz web de Intel AMT funciona incluso cuando el sistema está apagado, siempre y cuando la plataforma esté conectada a una línea de alimentación y un cable de red, ya que opera independientemente del sistema operativo.
A diferencia de la falla de autenticación remota descubierta el mes pasado, que permitió a los piratas informáticos tomar el control total de un sistema utilizando las funciones de AMT sin necesidad de ninguna contraseña, Platinum no explora ninguna falla en AMT, por lo que requiere que AMT esté habilitado en sistemas infectados.
Microsoft señala que la sesión de SOL requiere un nombre de usuario y una contraseña, por lo que el grupo de hacking está usando credenciales robadas para que su malware se comunique de forma remota con los servidores C & C o "durante el proceso de aprovisionamiento, PLATINUM puede seleccionar el nombre de usuario y la contraseña que deseen".
El grupo de hacking Platinum ha estado usando explotaciones de día cero, técnica de remiendo caliente y otras tácticas avanzadas para penetrar en sus sistemas y redes de destino en países del sur de Asia, pero esta es la primera vez que alguien está abusando de las herramientas de administración legítimas para evadir la detección.
Microsoft dijo que ya ha actualizado su propio software de Protección Avanzada de Amenazas de Windows Defender (Windows Defender ATP) alertará a los administradores de la red de cualquier intento malicioso de usar AMT SOL, pero solo para sistemas que ejecutan el sistema operativo Windows.
¿Qué es Active Management Technology - AMT?
Se trata de un subsistema que reside en el firmware de muchos de sus procesadores y que permite realizar conexiones remotas sin depender del sistema operativo, con el objetivo de llevar a cabo operaciones de monitorización,reparación,o actualización.
AMT es capaz de burlar cualquier firewall o medida de protección presente en nuestro sistema, incluso –bajo ciertas condiciones– el secure boot.
Esto significa que cuando AMT está habilitado, cualquier paquete enviado al puerto de red por cable de la PC será redirigido al Management Engine y transmitido a AMT. El sistema operativo, así como las aplicaciones de monitoreo de red instaladas en un sistema, nunca saben lo que está pasando .
Además, los sistemas Linux con chips de Intel y AMT habilitados también pueden estar expuestos al malware de Platinum.
Cuando compramos un ordenador con una placa base para Intel compatible con procesadores x86, como parte del chipset, estamos recibiendo un controlador llamado Intel Management Engine (ME). Este controlador es el encargado de controlar la CPU principal y funciona de forma independiente al procesador, incluso cuando el equipo se encuentra en estado de suspensión. En algunos chipsets se utiliza un firmware especial llamado Active Management Technology (AMT) para controlar el chip ME. Este firmware funciona de forma totalmente transparente al sistema operativo y se ejecuta siempre en el más bajo nivel, independientemente del sistema operativo o el software utilizado.
La principal finalidad del AMT es poder administrar los ordenadores de forma remota las funciones básicas del ordenador accediendo directamente a la memoria del controlador ME a través del protocolo TCP/IP.
La vulnerabilidad CVE-2017-5689
La vulnerabilidad se puede explotar de forma local (con acceso físico a la máquina) o a través de alguien que esté conectado en nuestra misma red (en un Wi-Fi público por ejemplo.). En este último caso se haría a través de los puertos abiertos 16992, 16993, 16994, 16995, 623,y 664 que utiliza AMT para comunicarse.Afecta a Active Management Technology AMT y otras tecnologías de Intel como Standard Manageability (ISM) y Small Business Technology (SBT) agrupadas en la plataforma vPro, en sus versiones de firmware de 6 a 11.6 (desde 2010).
Es un problema descubierto ahora, pero que se lleva arrastrando desde hace 10 años, aunque se desconoce si ha llegado a explotarse en algún momento. El hecho de ser código cerrado también dificulta saber el alcance exacto de la vulnerabilidad.
Aunque en Intel quieren reducir daños restringiendolo al ámbito profesional y no al de la computación personal o de ocio, es posible que si tenéis un equipo relativamente reciente venga por defecto con esa tecnología. Dependiendo del fabricante puede venir o no habilitado.
Mitigaciones CVE-2017-5689
Herramienta oficial de Intel:INTEL-SA-00075 Detection and Mitigation Tool
Para Windows 10, Windows 8.1, Windows 8 y Windows 7Usuarios de Linux:
AMT status checker for Linux:
$ git clone https://github.com/mjg59/mei-amt-check.git
$ cd mei-amt-check
$ make
$ sudo ./mei-amt-checkPosibles respuestas:
Intel AMT: DISABLED
Intel AMT is present
AMT is unprovisioned
Intel AMT is present
AMT is provisioned
O bien usando Nmap con un script NSE
$ wget https://svn.nmap.org/nmap/scripts/http-vuln-cve2017-5689.nse
$ nmap -p 16992 --script http-vuln-cve2017-5689 hostDetección de binarios inusuales que utilizan AMT
Si un atacante que tiene acceso a las credenciales de AMT intenta utilizar el canal de comunicación SOL en un equipo que ejecuta Windows Defender ATP, los análisis de comportamiento junto con el aprendizaje automático pueden detectar la actividad de ataque dirigida. Windows Defender ATP muestra una alerta similar a la que se muestra a continuación. Windows Defender ATP puede diferenciar entre el uso legítimo de AMT SOL y ataques dirigidos que intentan usarlo como un canal de comunicación.
Fuentes:
http://lamiradadelreplicante.com/2017/05/02/descubierta-importante-vulnerabilidad-en-el-amt-de-intel/
https://www.redeszone.net/2016/06/16/descubren-una-nueva-backdoor-los-procesadores-intel-x86-imposible-eliminar/
http://thehackernews.com/2017/06/intel-amt-firewall-bypass.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.