Le groupe de pirates Platinum sait utiliser l’AMT d’Intel pour la retourner contre les entreprises qui s’en servent. Contrairement aux soucis précédents avec cette technologie, il ne s’agit pas cette fois de failles de sécurité, mais d’un véritable détournement de ses fonctions.
Début mai, Intel corrigeait une importante faille de sécurité dans sa technologie AMT. L’Active Management Technology est une pile de traitement prenant appui sur le Management Engine, lui-même présent dans les processeurs Intel depuis environ dix ans. AMT fournit aux ordinateurs, lorsqu’elle est active, des fonctionnalités de gestion distante pour faire gagner du temps aux administrateurs. Elle fait partie de l'ensemble vPro.
Comme nous l’expliquions le mois dernier, l’AMT utilise pour communiquer les ports 16992 et 16993. Les communications sont directes, la machine ne voyant pas transiter les paquets de données, que le système d’exploitation soit Windows ou Linux (la technologie prend les deux en charge). Le responsable du réseau peut se servir d’une console web pour lancer des opérations de maintenance ou de virtualisation.
Mais alors qu’il s’agissait d’une faille de sécurité dont l’exploitation représentait un vrai risque pour les serveurs, on parle cette fois d’un détournement de fonctionnalités existantes, pour voler des données.
Aucune vulnérabilité nécessaire cette fois
Microsoft indique sur son blog de sécurité que le groupe de Platinum, qui est loin d’en être à son coup d’essai, a développé une technique visant à se servir d’AMT pour couvrir ses traces, et en particulier d’une fonctionnalité bien précise : Serial-over-LAN.
Elle n’est clairement pas utile partout, car elle permet la manipulation de cartes réseau par le port série. Il ne s’agit en dépit des apparences pas d’une vieille technologie, Intel expliquant notamment dans une page dédiée qu’à l’inverse, il devient possible de contrôler le curseur de la souris alors même que tous les pilotes ont été désactivés. Plus globalement, un PC peut être manipulé indépendamment de tout système d’exploitation, AMT étant parfaitement autonome.
Serial-over-LAN est en fait une solution dite « KVM sur IP », KVM signifiant « keyboard, video and mouse ». Une entreprise peut s’en servir pour installer à distance un système d’exploitation.
Dans le cas présent, Serial-over-LAN est utilisé pour couvrir les traces d’un malware qui aurait réussi à s’infiltrer avant, et non pour provoquer l'infection d'une machine ou d'un réseau. Conséquence, toutes ses communications transitent via AMT, y compris le vol de données, Microsoft précisant que c’est bien l’objectif derrière tant de discrétion.
Une attaque qui ne peut qu'en signaler une autre
Contrairement à d'autres cas symptomatiques que l'on a pu observer dernièrement en matière de sécurité – notamment dans les caméras connectées Foscam – Intel a travaillé la sécurité de son produit. Aussi, l’ouverture du canal de communication Serial-over-LAN ne peut se faire non seulement qu’avec un identifiant et un mot de passe, mais n’est en plus pas activée par défaut.
Mais puisque Microsoft a détecté des attaques utilisant ce vecteur, l’éditeur en déduit que les pirates avaient récupéré les identifiants d’une autre manière. Puisqu’on ne parle toujours pas de faille de sécurité, on a donc affaire à une campagne en deux temps. Microsoft suggère que les entreprises concernées ont peut-être des faiblesses dans leurs réseaux, qui auraient pu permettre ce vol d’informations.
Les pirates se sont servis d’un outil maison faisant appel à l’API Redirection Library (imrsdk.dll), contenue dans le SDK (Software Developement Kit) d’AMT. Toutes les transactions de données sont réalisées via deux méthodes, nommées IMR_SOLSendText() et IMR_SOLReceiveText(), qui sont les équivalents des appels réseau send() and recv(). Microsoft indique que pour le reste, le protocole SOL est pratiquement identique à TCP, si l’on met de côté un en-tête de taille variable ajouté pour la détection d’erreurs.
Une détection par le comportement
Évidemment, comme tout éditeur de solution de sécurité, Microsoft aborde cette menace pour deux raisons : informer de la découverte d’une technique, et mettre en avant sa propre solution, Advanced Threat Protection. Cette dernière, essentiellement disponible dans les entreprises, sait faire selon son développeur la différence entre un trafic SOL légitime et celui signalant une attaque en cours.
Outre l’inévitable aspect publicitaire, Microsoft indique toutefois qu’il s’agit du premier malware détecté à détourner une fonctionnalité reposant sur une technologie intégrée dans un processeur/chipset. La technique est qualifiée d’« ingénieuse » car la seule détection réseau serait inopérante pour la mettre en lumière, le système d'exploitation ne pouvant voir ce qui transite via AMT.
Le billet de l’éditeur met finalement en évidence le détournement d’une technologie dans un réseau compromis d’une autre manière. Il n’y a donc pas de mise à jour de sécurité à attendre. Les administrateurs concernés devront cependant faire attention à la gestion des identifiants du canal SOL, dans le cas où cette solution serait active dans la structure.
