Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft: hackers gebruikten Intel-feature om netwerkverkeer te verbergen

Door , 70 reacties

Microsoft heeft een nieuwe techniek ontdekt die is gebruikt door de hackergroep Platinum. Deze maakt gebruik van Intels Active Management Technology, die aanwezig is in chipsets en cpu's. Via de serial-over-lan-functionaliteit is het mogelijk om netwerkverkeer te verbergen.

Volgens Microsoft is dit de eerste keer dat malware is ontdekt die deze manier van communicatie gebruikt. De methode maakt het mogelijk om onafhankelijk van het besturingssysteem te communiceren en het netwerkverkeer te verbergen voor firewalls en applicaties op de host die netwerkverkeer in de gaten houdt. Microsoft heeft samen met Intel naar de gebruikte methode gekeken en de bedrijven concluderen dat er geen sprake is van een kwetsbaarheid, maar van misbruik van een feature door een aanvaller die al toegang heeft tot een netwerk. Platinum gebruikte de methode als manier om bestanden over te brengen.

De serial-over-lan-functie is niet standaard ingeschakeld en vereist beheerderstoegang met de juiste inloggegevens voor gebruik op werkstations. Microsoft meldt dat het onduidelijk is hoe en of de Platinum-groep de functie heeft ingeschakeld, maar zegt dat de aanvallers hoe dan ook beheerderstoegang nodig hadden. Voor de methode is niet vereist dat de netwerkkaart van een systeem is ingeschakeld; er moet alleen een fysieke netwerkverbinding aanwezig zijn.

Microsoft legt uit dat de Active Management Technology, oftewel AMT, onder meer aanwezig is op Intel-vPro-cpu's en -chipsets. De feature wordt gebruikt om een systeem op afstand te beheren. AMT is onderdeel van de Management Engine, die draait op een aparte processor in de chipset. De aparte processor werkt los van de cpu zelf en is daarom toegankelijk als deze is uitgeschakeld. De processor biedt functies als het opnieuw opstarten van een systeem en biedt toegang tot toetsenbord, muis en beeld. De serial-over-lan-functie is op zijn beurt weer onderdeel van AMT en biedt een communicatiekanaal via tcp.

Volgens eerder Microsoft-onderzoek is Platinum een groep die zich richt op de regio Zuid- en Zuidoost-Azië. De in 2009 ontdekte groep maakte al eerder gebruik van geavanceerde technieken, zoals hotpatching, voor het infecteren van systemen. Uit de huidige analyse van Microsoft blijkt dat Platinum de methode op een klein aantal systemen in de regio heeft toegepast.

Microsoft-video met uitleg

Sander van Voorst

Nieuwsredacteur

Reacties (70)

Wijzig sortering
Het wordt tijd voor een boycot tegen AMT en dergelijke oncontroleerbare 'features'. Het wordt nauwelijks gebruikt, maar biedt wel een groot veiligheidsrisico. Zie ook dit nieuws van een tijdje geleden.

Schakel zaken als AMT en SOL uit in de BIOS, indien mogelijk. Malware kan dit in theorie weer inschakelen, maar het maakt de kans op misbruik kleiner omdat het een extra barrière vormt.

[Reactie gewijzigd door The Zep Man op 8 juni 2017 15:24]

Wij gebruiken amt massaal om onze machines die wereldwijd draaien te beheren is echt perfect. Maar sol hebben we overal uit staan en we gebruiken voor iedere machine een apart root amt Ww. Daarmee zijn we dus goed beveiligd tegen deze hack.

En dat is meteen het belangrijkste feit wanneer het amt root wachtwoord aanpast dan kan daarna niemand meer zonder fysieke toegang het Ww aanpassen en dus ook de features niet aanzetten die trouwens standaard allemaal uit staan.
Helaas is wachtwoord aanpassen niet genoeg als een NULL password ook accepteerd wordt...

Van: https://www.tenable.com/b...e-intel-amt-vulnerability

Drawing on past experience when we reported an authentication-related vulnerability in which the length of credential comparison is controlled by the attacker (memcmp(attacker_passwd, correct_passwd, attacker_pwd_len)), we tested out a case in which only a portion of the correct response hash is sent to the AMT web server. To our surprise, authentication succeeded!

Next, we reduced the response hash to one hex digit and authentication still worked. Continuing to dig, we used a NULL/empty response hash (response="" in the HTTP Authorization header).

Authentication still worked. We had discovered a complete bypass of the authentication scheme.
Lol, dus als voorbeeld:
Password: "Pieter123"
Ingevuld: "Piet"

Vergelijking van password met ingevulde waarde, over de lengte van de ingevulde waarde (lengte van ingevulde waarde (Piet) is 4).

Dan is deze inlogpoging gewoon succesvol :) en door een leeg password te geven ook...
Hoewel oude post wil ik je toch even corrigeren.

Het gaat namelijk om de hash van het password.

Als de hash van "Pieter123" gelijk is aan a6df91cbe6a12 dan betekent dit niet dat de hash van "Piet" automatisch dan begint met hetzelfde stuk uit de eerder genoemde hash. Je zult dus alsnog het originele wachtwoord moeten weten om een deel van de correcte hash te kunnen fabriceren (omdat je de hele hash moet maken en daar dan een deel vanaf halen).

Het helpt alleen niet als er ook een NULL waarde wordt geaccepteerd (helemaal geen password)
Ah okee! Ja, als het om hashes gaat dan gaat mijn voorbeeld niet op.

Ik doelde op de verkeerde implementatie van de string functie waardoor een gedeelte van de invoerwaarde (in dit geval een hash) dus genoeg was om in te loggen.
Ja eens, maar het ligt dus iets gecompliceerder dan alleen de eerste 4 karakters goed raden ipv alle 8 of 16.

Neemt niet weg dat "niks" ingeven kennelijk ook werkt (wat echt heel slecht is).
Sterker nog, dat soort features mag wat mij betreft zelfs wel een jumper of dipswitch actie vereisen om aan te zetten.
Ik gebruik het zelf ook, maar het default uitzetten lijkt mij wel heel wenselijk.
De serial-over-lan-functie is niet standaard ingeschakeld en vereist beheerderstoegang met de juiste inloggegevens voor gebruik op werkstations
Tsja.....

Default credentials bug maakt het mogelijk om malware te schrijven die het eerst netjes voor je aan zet. Claimen dat iets redelijk veilig is want je hebt bepaalde rechten nodig gaat niet echt op. Hacks en exploits op systemen zijn meestal een opstapeling van foutjes in allerhande soft en hardware.

Dit soort features wil je niet standaard in je hardware hebben zitten. Het wordt amper gebruikt en opent een enorm aanval vector als er iets mis mee is (zie de empty authentication bug voor AMT).
Ik heb dan ook het idee dat dit eerder een door inlichtingendiensten verplichte feature is die verkocht wordt als nuttige beheerstool dan iets anders. Waarom zou je dit anders als een compleet aparte ARM core in je processor bouwen die compleet niet te benaderen of te controleren is vanuit het normale systeem, en die tegelijk wel toegang heeft tot alle hardware, zelfstandig netwerkverbindingen kan opzetten en onderhouden, etc.? Het zal best voor management op bedrijfsnetwerken gebruikt kunnen worden, maar ik kwalificeer het gewoon als hardwarematige spyware.
Wat als je de chip desoldeerd?
Of herprogrammeert naar een LED-controller ;p
Doe je best, en publiceer de resultaten in een mooie howto alsjeblieft!
Hmm, vziw heb ik niet zo'n ARM chip op m'n mobo die ik kan missen. En zou het een oplossing specifiek voor een aantal types mobo zijn. (Desolderen is ook geen kunst, afhankelijk van de package kan het wel vervelend zijn)

"compleet aparte ARM core in je processor bouwen die compleet niet te benaderen of te controleren is vanuit het normale systeem"

Is dan weer jammer voor een ledcontroller. Je wil juist iets dat bereikbaar is.

Denk je dat er markt is voor iets dat je op een USB header plant (of interne USB-poort) en waar je via wat software (of open API) ledstrippen mee kan aansturen? 2017 was 't jaar van ledverlichting toch?

(Wellicht leuke hardware hiervoor: http://m.ebay.com/itm/400985233359 denk dat je op de USB contacten ook gewoon female headers kan solderen om hem in je moederbord te prikken en anders zo'n adaptertje)

[Reactie gewijzigd door FuaZe op 9 juni 2017 21:15]

En dat is dus duidelijk volstrekt onvoldoende beveiliging. Dit moet je fysiek uit kunnen schakelen.
Als je de functie niet gebruikt, waarom zou je hem dan wel kopen ? De tegenhanger zonder vPro (CPU) is vaak nog goedkoper ook.
Het wordt tijd voor een boycot tegen AMT en dergelijke oncontroleerbare 'features'. Het wordt nauwelijks gebruikt, maar biedt wel een groot veiligheidsrisico. Zie ook dit nieuws van een tijdje geleden.
Sorry hoor maar als je een beetje DC beheert dan wil je OOB management opties zoals AMT (en vendor specifieke implementaties als iDrac, iLO etc) hebben om beheer te kunnen doen.
Ja, maar daar heb je je netwerkapparatuur die veel af kunnen vangen. AMT staat ook aan op willekeurige laptops.
Als die laptop een CPU heeft met de functie ja. Normale i* processoren hebben deze functie al helemaal niet.

Op ARK noemen ze het "Intel® vPro™ Technology"
Ja, en er zijn er dus best veel die je gewoon in de winkel kunt kopen, en waar AMT aanstaat.
Het komt er eigenlijk op neer dat je een xxxxK of xxxxX SKU wil, of een xxxxM of xxxxH SKU.

Zie deze zoekopdracht:

https://ark.intel.com/Sea...ore%E2%84%A2%20Processors

Edit of U SKUs schijnbaar.

[Reactie gewijzigd door EraYaN op 8 juni 2017 15:48]

Dat kan kloppen, maar dat weet de gemiddelde consument niet, en die zit dan opgescheept met een laptop waar standaard een onveilige functie aanstaat, die ze niet nodig hebben. Deze functie zou niet standaard aan moeten staan. dus een boycot zou niet misstaan.
Sorry hoor maar als je een beetje DC beheert dan wil je OOB management opties zoals AMT (en vendor specifieke implementaties als iDrac, iLO etc) hebben om beheer te kunnen doen.
Klopt, maar dit moet niet standaard gactiveerd staan of op afstand te activeren zijn.
Daarnaast las ik net dat AMT het te koppelen valt aan een certificaat. Dit lijkt mij toch echt wel noodzakelijk wil je onbekende beheerders buiten de deur houden. Op een privé-laptop wil je dit al helemaal niet. Helaas is de degelijkheid van veel consumenten-laptops dermate ondermaats dat wie iets fatsoenlijks wilt al gauw in het zakelijk segment moet gaan zoeken.
Varkens kunnen vliegen en het einde der tijden is nabij.
Het was er op wachten, er is al genoeg gedemonstreerd dat AMT rijp voor het plukken was. Zelfs zonder een theoretische backdoor van de NSA is zo'n systeem te kwetsbaar. Wanneer is het de mensheid ooit gelukt om een (significant) stuk software te maken dat zo veilig is dat je het niet voortdurend hoeft te patchen? Ik heb het nog niet gezien. Dat er gaten in AMT zitten is dus niet meer dan vanzelfsprekend. Extra vervelend is dat de meeste mensen niet eens weten wat AMT is en dat er een kans is dat het ook in hun computer zit.
Principieel vind ik het verkeerd dat er code draait op mijn systeem die zich aan mijn zicht onttrekt en controle uitoefent over mijn computer. Mijn computer, ik bepaal welke software er op draait. Helaas is het in praktijk vrijwel onmogelijk om een computer te kopen zonder dit soort verborgen software. Als het AMT niet is dan is het wel een ander chipje dat z'n eigen blobje firmware nodig heeft.
Zo hebben AMD cpu' s PSP als hidden en ongedocumenteerde ' feature' aan boord. Wat mij betreft is ieder stukje hardware dat een verborgen en niet gedocumenteerde interface heeft bij voorbaat verdacht en ongewenst. Gelukkig kan in mijn Asrock bios AMT uitzetten maar die hele ME achtige interfaces zouden beter inzichtelijk gemaakt moeten worden en ook nog eens standaard uit moeten staan. Dan ligt de keuze bij de gebruiker en niet bij de fabrikant.
Gelukkig kan in mijn Asrock bios AMT uitzetten maar die hele ME achtige interfaces zouden beter inzichtelijk gemaakt moeten worden en ook nog eens standaard uit moeten staan.
De ellende is dat dit eigenlijk niet meer is dan het verplaatsen van het probleem. De vraag is nu of je de schrijver van de BIOS vertrouwt. Misschien zit er wel een fout in de code waardoor het uitschakelen helemaal niet werkt.
Waarschijnlijk gebruikt de nsa het ook...
Het is nog erger, het is geen eens een fout in de software, het is 'misbruik' van de bestaande functionaliteit. Intel zal zeggen: 'niets aan te doen, it's not a bug, it's a feature.'

Het probleem is dat je dat verrekte AMT niet echt uit kan zetten. Je kan het 'uit' zetten in je BIOS maar dan staat het nog steeds aan.

Geen Intel processor meer voor mij.

[Reactie gewijzigd door ArtGod op 8 juni 2017 17:58]

Welke dan wel? AMD heeft net zoiets. :X
het ljkt erop dat intel hier de schuld van krijgt tewijl de fout nog altijd ligt bij de beheerders van het OS.
Ja en nee zou ik hier zeggen.
Ja, omdat de host eerst gecompromitteerd moet zijn om via Intel AMT de bestanden over te plaatsen.
Nee, omdat (zeker in grote bedrijven) Intel AMT wordt gebruikt om grote hoeveelheden werkstations te beheren. Intel AMT is een mooie (en goede vervanger) van WOL, waarbij deze features dus geactiveerd worden vanuit een beheersaspect. De vraag is dus of één infected client via Serial-Over-LAN meerdere machines kan infecteren. Dat laatste zou een fout zijn in Intel AMT.

Twijfelgeval: omdat het niet mogelijk zou moeten zijn om met een netwerkkaart die disabled is, via Intel AMT toch nog verkeer over die kaart te versturen en die data in het OS te plaatsen. Is dit een fout van het OS, van Intel AMT of van beiden?
Is nou juist de feature om op afstand beheer te kunnen doen zelfs als een gebruiker of os iets zo verknald dat je normale netwerk driver binnen het OS niet werkt.
Omdat AMT het OS geheel omzeilt kan het OS niet kwalijk worden genomen mbt. AMT.
Dus nadat toegang op AMT is verkregen zijn alle weddenschappen op kansen voor een OS of hardware eigenlijk over.
Nee? Als de feature standaard aan staat op de chipset/BIOS, dan is dat toch de schuld van de moederbordfabrikant? Het staat los van het OS, dat is wat hiermee gezegd wordt.

[Reactie gewijzigd door NotCYF op 8 juni 2017 15:29]

Mwah, nog niet eens zozeer de fabrikant van moederborden maar imo toch echt Intel die daarvoor verantwoordelijk is.
Waarom zou Intel er voor verantwoordelijk zijn? Het is (mis)bruik van een feature, net als bijvoorbeeld het misbruik van Instagram
Het had net zo goed misbruik van SSL/TLS, VPN, SSH etc kunnen zijn.
Het bestaan van de feature is niet de fout. Het niet definitief kunnen uitzetten van de feature is de fout. Dat kan bij de andere features die je opnoemt wel.
Niet dus. Je hebt 'een' OS nodig om de AMT in te schakelen (en configureren voor gebruik). Dat kan elk OS zijn waarop je de code beschikbaar kunt maken. Als het eenmaal zover is mag de desbetreffende PC zelfs uit staan, en is er niet eens een OS nodig om het spul te benaderen.
maar wil je code uitvoeren moet dat nog steeds op het OS gebeuren. de initiele fout zit nog altijd in het OS/beveiliging die het bedrijf heeft draaien. zoizo moet het met de hand worden aangezet aangezien we hier praten over onboard kaarten in een enterprise setting.

dit staat of valt bij de beveiliging van de IT...
De initiele fout zit in AMT, de fouten die daarna gebeuren zijn mogelijk de schuld van het OS maar de bron is toch echt AMT...
AMT werkt zoals het hoort, onrechtmatige code uitvoeren op het hostsysteem is niet de verantwoordelijkheid van intel.
Dus een router zonder firewall en een AP zonder encryptie is prima volgens jou? ;)
Als ik een kabel door mijn raam naar buiten leg, is het dan de schuld van MS dat iemand een payload over die kabel gooit nadat ik overduidelijk een opening maak?...
AMT werkt zoals het hoort, WEP ook en toch gebruikt bijna niemand het meer omdat het zo onveilig is. AMT werkt dus helemaal niet zoals het hoort, het hoort geen hackers toe te laten en hoort geen beveiligingslek te zijn.
Amt werkt, maar als de beveiliging niet op het nivo is dat men in een bepaalde omgeving vereist dient men het gewoon niet te gebruiken, zo simpel werkt het.
Dat is simpelweg niet hoe beveiliging werkt: 'als het niet veilig is zet je het uit/patch je het gat met een ander systeem...'
Als het niet veilig is, maak je het veilig. Daarom hebben we AV op het besturingssysteem en niet op je beeldscherm aangezien op je beeldscherm de ransomware notes getoont worden :+
Pak het probleem aan bij de bron, niet twintig lagen verder waar er dus ook weer eindeloos meer openingen zijn.

[Reactie gewijzigd door RGAT op 8 juni 2017 20:09]

Pak het probleem aan bij de bron, niet twintig lagen verder waar er dus ook weer eindeloos meer openingen zijn.
En de bron is hier de exploit die gebruikt is om beheerdersrechten op de machines te krijgen, niet de feature die het misbruikt om te communiceren.
AMT is onafhankelijk van het OS.
Maar de malware niet. ;)
Microsoft heeft samen met Intel naar de gebruikte methode gekeken en de bedrijven concluderen dat er geen sprake is van een kwetsbaarheid, maar van misbruik van een feature door een aanvaller die al toegang heeft tot een netwerk. Platinum gebruikte de methode als manier om bestanden over te brengen.


its not a bug, its a feature 8)7
Inderdaad ja. Een beheerder met voldoende toegang kan een features aan- of uitzetten. Als deze features wordt aangezet, loopt de communicatie op een bepaalde manier die niet opgepikt wordt door een bepaalde manier van scannen.

Vergelijk het met pinnen buiten Europa. Tegenwoordig staat dat bij vrijwel alle banken default uit. Als ingelogde gebruiker (beheerder) kun je aanzetten dat dit wel kan. Op dat moment krijg je geen melding meer als jou pas in het buitenland gebruikt wordt. Als iemand met voldoende toegang dit doet en vervolgens met jou bankpas in het buitenland aan de gang gaat, zul jij geen bericht / melding krijgen. Da's toch echt bug, dat is een feature.
Probleem is dat ook beheerders die engines niet uit kunnen zetten. Die blijven echt draaien hoor.
Wellicht...maar goed, de feature staat default uit. De aanvallers hebben dus voldoende toegang gehad om het aan te zetten. De engine uitzetten zou niet bijzonder veel uitgemaakt hebben dan, een aanvaller met dat niveau van toegang kan die engine dan ook weer aanzetten (of, indien de engine verwijderd is, die weer erop zetten).
No shit sherlock. Dit was sinds AMT4 al bij DEF CON gedemonstreerd. Bovendien heb je helemaal geen AMT of vPRO nodig, dit kan met elke SOL en IPMI implementatie, en zelfs met sommige 'standaard' netwerkkaarten die een software-implementatie van ASF gebruiken en vanaf de host kant gebruikt kan worden voor out of band messaging (want dat is waar het allemaal om draait).

[Reactie gewijzigd door johnkeates op 8 juni 2017 15:30]

Software en dichten (firmware) en software en derde partijen dichten, Software en het is niet te dichten, maar wel een gedicht;

Ik zal open zijn als u mij ziet,
Ik zal dicht zijn als men mij bekijkt,
Ik zal gesloten zijn, maar u mag naar mijn openheid vragen.
Maar dicht me niet, als ik open ben en geniet.
Platinumbackdoor in het filmpje? Van waar die naam,backdoor?
Een backdoor (achterdeur) is een gat in de beveiliging dat gemaakt en gebruikt wordt na de initiële aanval die toegang verschaft. De aanvaller hoopt zo toegang te behouden en/of data te transfereren zonder op te vallen.
Platinum is de naam van de groepering. Of dat een naam is die ze zelf ook gebruiken weet ik niet.
Het wordt tijd om die pinnetjes van die onnozele chip door te knippen op het moederbord! Die driver zooi installeer ik ook nooit en de 'Unknown PCI device' gaat hier standaard op disabled.
Deze chips hebben al lang geen pinnetjes meer ;)
Daarom ook 'doorknippen op het moederbord!'. :P
Als je niet bepaalde chipset drivers en dergelijke van je moederbord installeert kan het zijn dat je systeem minder optimaal werkt, dan wel enkele features niet kan gebruiken. (Ja ook op Windows 7)
En dat van de PCI device kan een resultaat daarvan zijn of een apparaat in je machine die niet goed herkend wordt.

[Reactie gewijzigd door CriticalHit_NL op 8 juni 2017 18:27]

Heeft iemand hier ook de source van? Ik zou dit best thuis eens willen proberen...
Hoe oud zijn deze lekken, dat ze nu pas "gevonden" zijn? Ofwel is er niemand meer mee bezig om nieuwe exploits te vinden. Er zijn nu toch al meer dan 5,000 lekken gevonden, denk ik, in de hele geschiedenis van Microsoft en hun software "Windows". Niemand deed ooit beter? :)

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*