Microsoft: hackers gebruikten Intel-feature om netwerkverkeer te verbergen

Microsoft heeft een nieuwe techniek ontdekt die is gebruikt door de hackergroep Platinum. Deze maakt gebruik van Intels Active Management Technology, die aanwezig is in chipsets en cpu's. Via de serial-over-lan-functionaliteit is het mogelijk om netwerkverkeer te verbergen.

Volgens Microsoft is dit de eerste keer dat malware is ontdekt die deze manier van communicatie gebruikt. De methode maakt het mogelijk om onafhankelijk van het besturingssysteem te communiceren en het netwerkverkeer te verbergen voor firewalls en applicaties op de host die netwerkverkeer in de gaten houdt. Microsoft heeft samen met Intel naar de gebruikte methode gekeken en de bedrijven concluderen dat er geen sprake is van een kwetsbaarheid, maar van misbruik van een feature door een aanvaller die al toegang heeft tot een netwerk. Platinum gebruikte de methode als manier om bestanden over te brengen.

amt sol illustratieDe serial-over-lan-functie is niet standaard ingeschakeld en vereist beheerderstoegang met de juiste inloggegevens voor gebruik op werkstations. Microsoft meldt dat het onduidelijk is hoe en of de Platinum-groep de functie heeft ingeschakeld, maar zegt dat de aanvallers hoe dan ook beheerderstoegang nodig hadden. Voor de methode is niet vereist dat de netwerkkaart van een systeem is ingeschakeld; er moet alleen een fysieke netwerkverbinding aanwezig zijn.

Microsoft legt uit dat de Active Management Technology, oftewel AMT, onder meer aanwezig is op Intel-vPro-cpu's en -chipsets. De feature wordt gebruikt om een systeem op afstand te beheren. AMT is onderdeel van de Management Engine, die draait op een aparte processor in de chipset. De aparte processor werkt los van de cpu zelf en is daarom toegankelijk als deze is uitgeschakeld. De processor biedt functies als het opnieuw opstarten van een systeem en biedt toegang tot toetsenbord, muis en beeld. De serial-over-lan-functie is op zijn beurt weer onderdeel van AMT en biedt een communicatiekanaal via tcp.

Volgens eerder Microsoft-onderzoek is Platinum een groep die zich richt op de regio Zuid- en Zuidoost-Azië. De in 2009 ontdekte groep maakte al eerder gebruik van geavanceerde technieken, zoals hotpatching, voor het infecteren van systemen. Uit de huidige analyse van Microsoft blijkt dat Platinum de methode op een klein aantal systemen in de regio heeft toegepast.

Helaas!
De video die je probeert te bekijken is niet langer beschikbaar op Tweakers.net.

Microsoft-video met uitleg

Door Sander van Voorst

Nieuwsredacteur

Feedback • 08-06-2017 15:1370

08-06-2017 • 15:13

70 Linkedin Whatsapp

Lees meer

Microsoft verwijdert 'opschoonsoftware' die aanzet tot aanschaf premiumversie
Microsoft verwijdert 'opschoonsoftware' die aanzet tot aanschaf premiumversie Nieuws van 31 januari 2018
Intel gaat downgrade van Management Engine-firmware hardwarematig voorkomen
Intel gaat downgrade van Management Engine-firmware hardwarematig voorkomen Nieuws van 13 december 2017
Onderzoekers omzeilen Windows Defender-scan via eigen smb-server
Onderzoekers omzeilen Windows Defender-scan via eigen smb-server Nieuws van 28 september 2017
Onderzoekers schakelen Intel Management Engine uit via ongedocumenteerde functie
Onderzoekers schakelen Intel Management Engine uit via ongedocumenteerde functie Nieuws van 29 augustus 2017
Microsoft dicht opnieuw door Google gevonden lek in eigen beveiligingssoftware
Microsoft dicht opnieuw door Google gevonden lek in eigen beveiligingssoftware Nieuws van 29 mei 2017
Microsoft dicht drie zero-daylekken die actief misbruikt werden
Microsoft dicht drie zero-daylekken die actief misbruikt werden Nieuws van 10 mei 2017
Microsoft verhelpt ernstige, door Google gevonden kwetsbaarheid in Defender
Microsoft verhelpt ernstige, door Google gevonden kwetsbaarheid in Defender Nieuws van 9 mei 2017
Intels zakelijke processors bevatten al sinds 2008 ernstig lek
Intels zakelijke processors bevatten al sinds 2008 ernstig lek Nieuws van 2 mei 2017
Microsoft dicht Word-lek dat aan basis stond van spamcampagne met bankingtrojan
Microsoft dicht Word-lek dat aan basis stond van spamcampagne met bankingtrojan Nieuws van 12 april 2017
Meer producten en artikelen
Netwerk en systeembeheer Intel Microsoft Security

IT-banen

Meer vacatures

Reacties (70)

-Moderatie-faq
70
66
37
4
0
16
Wijzig sortering
The Zep Man
8 juni 2017 15:20
Het wordt tijd voor een boycot tegen AMT en dergelijke oncontroleerbare 'features'. Het wordt nauwelijks gebruikt, maar biedt wel een groot veiligheidsrisico. Zie ook dit nieuws van een tijdje geleden.

Schakel zaken als AMT en SOL uit in de BIOS, indien mogelijk. Malware kan dit in theorie weer inschakelen, maar het maakt de kans op misbruik kleiner omdat het een extra barrière vormt.

[Reactie gewijzigd door The Zep Man op 8 juni 2017 15:24]

repeP
@The Zep Man8 juni 2017 16:11
Site waar men zich hiermee bezig houdt: https://mattermedia.com/blog/disabling-intel-amt/
CrazyBernie
@The Zep Man8 juni 2017 15:54
Wij gebruiken amt massaal om onze machines die wereldwijd draaien te beheren is echt perfect. Maar sol hebben we overal uit staan en we gebruiken voor iedere machine een apart root amt Ww. Daarmee zijn we dus goed beveiligd tegen deze hack.

En dat is meteen het belangrijkste feit wanneer het amt root wachtwoord aanpast dan kan daarna niemand meer zonder fysieke toegang het Ww aanpassen en dus ook de features niet aanzetten die trouwens standaard allemaal uit staan.
delgurth
@CrazyBernie8 juni 2017 16:51
Helaas is wachtwoord aanpassen niet genoeg als een NULL password ook accepteerd wordt...

Van: https://www.tenable.com/b...e-intel-amt-vulnerability

Drawing on past experience when we reported an authentication-related vulnerability in which the length of credential comparison is controlled by the attacker (memcmp(attacker_passwd, correct_passwd, attacker_pwd_len)), we tested out a case in which only a portion of the correct response hash is sent to the AMT web server. To our surprise, authentication succeeded!

Next, we reduced the response hash to one hex digit and authentication still worked. Continuing to dig, we used a NULL/empty response hash (response="" in the HTTP Authorization header).

Authentication still worked. We had discovered a complete bypass of the authentication scheme.
FuaZe
@delgurth8 juni 2017 22:31
Lol, dus als voorbeeld:
Password: "Pieter123"
Ingevuld: "Piet"

Vergelijking van password met ingevulde waarde, over de lengte van de ingevulde waarde (lengte van ingevulde waarde (Piet) is 4).

Dan is deze inlogpoging gewoon succesvol :) en door een leeg password te geven ook...
supersnathan94
@FuaZe2 juli 2017 17:44
Hoewel oude post wil ik je toch even corrigeren.

Het gaat namelijk om de hash van het password.

Als de hash van "Pieter123" gelijk is aan a6df91cbe6a12 dan betekent dit niet dat de hash van "Piet" automatisch dan begint met hetzelfde stuk uit de eerder genoemde hash. Je zult dus alsnog het originele wachtwoord moeten weten om een deel van de correcte hash te kunnen fabriceren (omdat je de hele hash moet maken en daar dan een deel vanaf halen).

Het helpt alleen niet als er ook een NULL waarde wordt geaccepteerd (helemaal geen password)
FuaZe
@supersnathan942 juli 2017 18:15
Ah okee! Ja, als het om hashes gaat dan gaat mijn voorbeeld niet op.

Ik doelde op de verkeerde implementatie van de string functie waardoor een gedeelte van de invoerwaarde (in dit geval een hash) dus genoeg was om in te loggen.
supersnathan94
@FuaZe2 juli 2017 20:25
Ja eens, maar het ligt dus iets gecompliceerder dan alleen de eerste 4 karakters goed raden ipv alle 8 of 16.

Neemt niet weg dat "niks" ingeven kennelijk ook werkt (wat echt heel slecht is).
TD-er
@The Zep Man8 juni 2017 15:29
Sterker nog, dat soort features mag wat mij betreft zelfs wel een jumper of dipswitch actie vereisen om aan te zetten.
Ik gebruik het zelf ook, maar het default uitzetten lijkt mij wel heel wenselijk.
Fietsventje
@TD-er8 juni 2017 15:41
De serial-over-lan-functie is niet standaard ingeschakeld en vereist beheerderstoegang met de juiste inloggegevens voor gebruik op werkstations
194673
@Fietsventje8 juni 2017 15:59
Tsja.....

Default credentials bug maakt het mogelijk om malware te schrijven die het eerst netjes voor je aan zet. Claimen dat iets redelijk veilig is want je hebt bepaalde rechten nodig gaat niet echt op. Hacks en exploits op systemen zijn meestal een opstapeling van foutjes in allerhande soft en hardware.

Dit soort features wil je niet standaard in je hardware hebben zitten. Het wordt amper gebruikt en opent een enorm aanval vector als er iets mis mee is (zie de empty authentication bug voor AMT).
ATS
@1946738 juni 2017 20:10
Ik heb dan ook het idee dat dit eerder een door inlichtingendiensten verplichte feature is die verkocht wordt als nuttige beheerstool dan iets anders. Waarom zou je dit anders als een compleet aparte ARM core in je processor bouwen die compleet niet te benaderen of te controleren is vanuit het normale systeem, en die tegelijk wel toegang heeft tot alle hardware, zelfstandig netwerkverbindingen kan opzetten en onderhouden, etc.? Het zal best voor management op bedrijfsnetwerken gebruikt kunnen worden, maar ik kwalificeer het gewoon als hardwarematige spyware.
FuaZe
@ATS8 juni 2017 22:30
Wat als je de chip desoldeerd?
Of herprogrammeert naar een LED-controller ;p
ATS
@FuaZe9 juni 2017 06:09
Doe je best, en publiceer de resultaten in een mooie howto alsjeblieft!
FuaZe
@ATS9 juni 2017 21:00
Hmm, vziw heb ik niet zo'n ARM chip op m'n mobo die ik kan missen. En zou het een oplossing specifiek voor een aantal types mobo zijn. (Desolderen is ook geen kunst, afhankelijk van de package kan het wel vervelend zijn)

"compleet aparte ARM core in je processor bouwen die compleet niet te benaderen of te controleren is vanuit het normale systeem"

Is dan weer jammer voor een ledcontroller. Je wil juist iets dat bereikbaar is.

Denk je dat er markt is voor iets dat je op een USB header plant (of interne USB-poort) en waar je via wat software (of open API) ledstrippen mee kan aansturen? 2017 was 't jaar van ledverlichting toch?

(Wellicht leuke hardware hiervoor: http://m.ebay.com/itm/400985233359 denk dat je op de USB contacten ook gewoon female headers kan solderen om hem in je moederbord te prikken en anders zo'n adaptertje)

[Reactie gewijzigd door FuaZe op 9 juni 2017 21:15]

ATS
@Fietsventje8 juni 2017 15:55
En dat is dus duidelijk volstrekt onvoldoende beveiliging. Dit moet je fysiek uit kunnen schakelen.
DukeBox
@TD-er8 juni 2017 16:24
Als je de functie niet gebruikt, waarom zou je hem dan wel kopen ? De tegenhanger zonder vPro (CPU) is vaak nog goedkoper ook.
PolarBear
@The Zep Man8 juni 2017 15:29
Het wordt tijd voor een boycot tegen AMT en dergelijke oncontroleerbare 'features'. Het wordt nauwelijks gebruikt, maar biedt wel een groot veiligheidsrisico. Zie ook dit nieuws van een tijdje geleden.
Sorry hoor maar als je een beetje DC beheert dan wil je OOB management opties zoals AMT (en vendor specifieke implementaties als iDrac, iLO etc) hebben om beheer te kunnen doen.
Anoniem: 420148
@PolarBear8 juni 2017 15:36
Ja, maar daar heb je je netwerkapparatuur die veel af kunnen vangen. AMT staat ook aan op willekeurige laptops.
EraYaN
@Anoniem: 4201488 juni 2017 15:42
Als die laptop een CPU heeft met de functie ja. Normale i* processoren hebben deze functie al helemaal niet.

Op ARK noemen ze het "Intel® vPro™ Technology"
Anoniem: 420148
@EraYaN8 juni 2017 15:43
Ja, en er zijn er dus best veel die je gewoon in de winkel kunt kopen, en waar AMT aanstaat.
EraYaN
@Anoniem: 4201488 juni 2017 15:47
Het komt er eigenlijk op neer dat je een xxxxK of xxxxX SKU wil, of een xxxxM of xxxxH SKU.

Zie deze zoekopdracht:

https://ark.intel.com/Sea...ore%E2%84%A2%20Processors

Edit of U SKUs schijnbaar.

[Reactie gewijzigd door EraYaN op 8 juni 2017 15:48]

Anoniem: 420148
@EraYaN8 juni 2017 15:50
Dat kan kloppen, maar dat weet de gemiddelde consument niet, en die zit dan opgescheept met een laptop waar standaard een onveilige functie aanstaat, die ze niet nodig hebben. Deze functie zou niet standaard aan moeten staan. dus een boycot zou niet misstaan.
BeosBeing
@PolarBear15 juni 2017 12:26
Sorry hoor maar als je een beetje DC beheert dan wil je OOB management opties zoals AMT (en vendor specifieke implementaties als iDrac, iLO etc) hebben om beheer te kunnen doen.
Klopt, maar dit moet niet standaard gactiveerd staan of op afstand te activeren zijn.
Daarnaast las ik net dat AMT het te koppelen valt aan een certificaat. Dit lijkt mij toch echt wel noodzakelijk wil je onbekende beheerders buiten de deur houden. Op een privé-laptop wil je dit al helemaal niet. Helaas is de degelijkheid van veel consumenten-laptops dermate ondermaats dat wie iets fatsoenlijks wilt al gauw in het zakelijk segment moet gaan zoeken.
Blokker_1999
@Anoniem: 6362038 juni 2017 18:26
Varkens kunnen vliegen en het einde der tijden is nabij.
CAPSLOCK2000
8 juni 2017 15:49
Het was er op wachten, er is al genoeg gedemonstreerd dat AMT rijp voor het plukken was. Zelfs zonder een theoretische backdoor van de NSA is zo'n systeem te kwetsbaar. Wanneer is het de mensheid ooit gelukt om een (significant) stuk software te maken dat zo veilig is dat je het niet voortdurend hoeft te patchen? Ik heb het nog niet gezien. Dat er gaten in AMT zitten is dus niet meer dan vanzelfsprekend. Extra vervelend is dat de meeste mensen niet eens weten wat AMT is en dat er een kans is dat het ook in hun computer zit.
Principieel vind ik het verkeerd dat er code draait op mijn systeem die zich aan mijn zicht onttrekt en controle uitoefent over mijn computer. Mijn computer, ik bepaal welke software er op draait. Helaas is het in praktijk vrijwel onmogelijk om een computer te kopen zonder dit soort verborgen software. Als het AMT niet is dan is het wel een ander chipje dat z'n eigen blobje firmware nodig heeft.
regmaster
@CAPSLOCK20008 juni 2017 16:48
Zo hebben AMD cpu' s PSP als hidden en ongedocumenteerde ' feature' aan boord. Wat mij betreft is ieder stukje hardware dat een verborgen en niet gedocumenteerde interface heeft bij voorbaat verdacht en ongewenst. Gelukkig kan in mijn Asrock bios AMT uitzetten maar die hele ME achtige interfaces zouden beter inzichtelijk gemaakt moeten worden en ook nog eens standaard uit moeten staan. Dan ligt de keuze bij de gebruiker en niet bij de fabrikant.
CAPSLOCK2000
@regmaster8 juni 2017 16:51
Gelukkig kan in mijn Asrock bios AMT uitzetten maar die hele ME achtige interfaces zouden beter inzichtelijk gemaakt moeten worden en ook nog eens standaard uit moeten staan.
De ellende is dat dit eigenlijk niet meer is dan het verplaatsen van het probleem. De vraag is nu of je de schrijver van de BIOS vertrouwt. Misschien zit er wel een fout in de code waardoor het uitschakelen helemaal niet werkt.
Evdpol
@CAPSLOCK20008 juni 2017 17:32
Waarschijnlijk gebruikt de nsa het ook...
Anoniem: 636203
@CAPSLOCK20008 juni 2017 17:57
Het is nog erger, het is geen eens een fout in de software, het is 'misbruik' van de bestaande functionaliteit. Intel zal zeggen: 'niets aan te doen, it's not a bug, it's a feature.'

Het probleem is dat je dat verrekte AMT niet echt uit kan zetten. Je kan het 'uit' zetten in je BIOS maar dan staat het nog steeds aan.

Geen Intel processor meer voor mij.

[Reactie gewijzigd door Anoniem: 636203 op 8 juni 2017 17:58]

ATS
@Anoniem: 6362038 juni 2017 20:12
Welke dan wel? AMD heeft net zoiets. :X
flippy
8 juni 2017 15:18
het ljkt erop dat intel hier de schuld van krijgt tewijl de fout nog altijd ligt bij de beheerders van het OS.
walteij
@flippy8 juni 2017 15:32
Ja en nee zou ik hier zeggen.
Ja, omdat de host eerst gecompromitteerd moet zijn om via Intel AMT de bestanden over te plaatsen.
Nee, omdat (zeker in grote bedrijven) Intel AMT wordt gebruikt om grote hoeveelheden werkstations te beheren. Intel AMT is een mooie (en goede vervanger) van WOL, waarbij deze features dus geactiveerd worden vanuit een beheersaspect. De vraag is dus of één infected client via Serial-Over-LAN meerdere machines kan infecteren. Dat laatste zou een fout zijn in Intel AMT.

Twijfelgeval: omdat het niet mogelijk zou moeten zijn om met een netwerkkaart die disabled is, via Intel AMT toch nog verkeer over die kaart te versturen en die data in het OS te plaatsen. Is dit een fout van het OS, van Intel AMT of van beiden?
CrazyBernie
@walteij8 juni 2017 15:57
Is nou juist de feature om op afstand beheer te kunnen doen zelfs als een gebruiker of os iets zo verknald dat je normale netwerk driver binnen het OS niet werkt.
tweaknico
@walteij8 juni 2017 16:54
Omdat AMT het OS geheel omzeilt kan het OS niet kwalijk worden genomen mbt. AMT.
Dus nadat toegang op AMT is verkregen zijn alle weddenschappen op kansen voor een OS of hardware eigenlijk over.
MrFax
@flippy8 juni 2017 15:28
Nee? Als de feature standaard aan staat op de chipset/BIOS, dan is dat toch de schuld van de moederbordfabrikant? Het staat los van het OS, dat is wat hiermee gezegd wordt.

[Reactie gewijzigd door MrFax op 8 juni 2017 15:29]

repeP
@MrFax8 juni 2017 16:12
Mwah, nog niet eens zozeer de fabrikant van moederborden maar imo toch echt Intel die daarvoor verantwoordelijk is.
Zer0
@repeP9 juni 2017 02:28
Waarom zou Intel er voor verantwoordelijk zijn? Het is (mis)bruik van een feature, net als bijvoorbeeld het misbruik van Instagram
Het had net zo goed misbruik van SSL/TLS, VPN, SSH etc kunnen zijn.
napel25
@Zer09 juni 2017 10:33
Het bestaan van de feature is niet de fout. Het niet definitief kunnen uitzetten van de feature is de fout. Dat kan bij de andere features die je opnoemt wel.
Anoniem: 120539
@flippy8 juni 2017 15:45
Niet dus. Je hebt 'een' OS nodig om de AMT in te schakelen (en configureren voor gebruik). Dat kan elk OS zijn waarop je de code beschikbaar kunt maken. Als het eenmaal zover is mag de desbetreffende PC zelfs uit staan, en is er niet eens een OS nodig om het spul te benaderen.
flippy
@Anoniem: 1205398 juni 2017 16:10
maar wil je code uitvoeren moet dat nog steeds op het OS gebeuren. de initiele fout zit nog altijd in het OS/beveiliging die het bedrijf heeft draaien. zoizo moet het met de hand worden aangezet aangezien we hier praten over onboard kaarten in een enterprise setting.

dit staat of valt bij de beveiliging van de IT...
RGAT
@flippy8 juni 2017 17:13
De initiele fout zit in AMT, de fouten die daarna gebeuren zijn mogelijk de schuld van het OS maar de bron is toch echt AMT...
flippy
@RGAT8 juni 2017 17:26
AMT werkt zoals het hoort, onrechtmatige code uitvoeren op het hostsysteem is niet de verantwoordelijkheid van intel.
RGAT
@flippy8 juni 2017 17:32
Dus een router zonder firewall en een AP zonder encryptie is prima volgens jou? ;)
Als ik een kabel door mijn raam naar buiten leg, is het dan de schuld van MS dat iemand een payload over die kabel gooit nadat ik overduidelijk een opening maak?...
AMT werkt zoals het hoort, WEP ook en toch gebruikt bijna niemand het meer omdat het zo onveilig is. AMT werkt dus helemaal niet zoals het hoort, het hoort geen hackers toe te laten en hoort geen beveiligingslek te zijn.
flippy
@RGAT8 juni 2017 19:42
Amt werkt, maar als de beveiliging niet op het nivo is dat men in een bepaalde omgeving vereist dient men het gewoon niet te gebruiken, zo simpel werkt het.
RGAT
@flippy8 juni 2017 20:08
Dat is simpelweg niet hoe beveiliging werkt: 'als het niet veilig is zet je het uit/patch je het gat met een ander systeem...'
Als het niet veilig is, maak je het veilig. Daarom hebben we AV op het besturingssysteem en niet op je beeldscherm aangezien op je beeldscherm de ransomware notes getoont worden :+
Pak het probleem aan bij de bron, niet twintig lagen verder waar er dus ook weer eindeloos meer openingen zijn.

[Reactie gewijzigd door RGAT op 8 juni 2017 20:09]

Zer0
@RGAT9 juni 2017 02:36
Pak het probleem aan bij de bron, niet twintig lagen verder waar er dus ook weer eindeloos meer openingen zijn.
En de bron is hier de exploit die gebruikt is om beheerdersrechten op de machines te krijgen, niet de feature die het misbruikt om te communiceren.
BeosBeing
@flippy15 juni 2017 12:29
AMT is onafhankelijk van het OS.
flippy
@BeosBeing15 juni 2017 13:48
Maar de malware niet. ;)
JWL92
8 juni 2017 15:18
Microsoft heeft samen met Intel naar de gebruikte methode gekeken en de bedrijven concluderen dat er geen sprake is van een kwetsbaarheid, maar van misbruik van een feature door een aanvaller die al toegang heeft tot een netwerk. Platinum gebruikte de methode als manier om bestanden over te brengen.


its not a bug, its a feature 8)7
Zarhrezz
@JWL928 juni 2017 15:27
Inderdaad ja. Een beheerder met voldoende toegang kan een features aan- of uitzetten. Als deze features wordt aangezet, loopt de communicatie op een bepaalde manier die niet opgepikt wordt door een bepaalde manier van scannen.

Vergelijk het met pinnen buiten Europa. Tegenwoordig staat dat bij vrijwel alle banken default uit. Als ingelogde gebruiker (beheerder) kun je aanzetten dat dit wel kan. Op dat moment krijg je geen melding meer als jou pas in het buitenland gebruikt wordt. Als iemand met voldoende toegang dit doet en vervolgens met jou bankpas in het buitenland aan de gang gaat, zul jij geen bericht / melding krijgen. Da's toch echt bug, dat is een feature.
repeP
@Zarhrezz8 juni 2017 16:13
Probleem is dat ook beheerders die engines niet uit kunnen zetten. Die blijven echt draaien hoor.
Zarhrezz
@repeP8 juni 2017 19:54
Wellicht...maar goed, de feature staat default uit. De aanvallers hebben dus voldoende toegang gehad om het aan te zetten. De engine uitzetten zou niet bijzonder veel uitgemaakt hebben dan, een aanvaller met dat niveau van toegang kan die engine dan ook weer aanzetten (of, indien de engine verwijderd is, die weer erop zetten).
johnkeates
8 juni 2017 15:20
No shit sherlock. Dit was sinds AMT4 al bij DEF CON gedemonstreerd. Bovendien heb je helemaal geen AMT of vPRO nodig, dit kan met elke SOL en IPMI implementatie, en zelfs met sommige 'standaard' netwerkkaarten die een software-implementatie van ASF gebruiken en vanaf de host kant gebruikt kan worden voor out of band messaging (want dat is waar het allemaal om draait).

[Reactie gewijzigd door johnkeates op 8 juni 2017 15:30]

XRayXI
8 juni 2017 15:20
Software en dichten (firmware) en software en derde partijen dichten, Software en het is niet te dichten, maar wel een gedicht;

Ik zal open zijn als u mij ziet,
Ik zal dicht zijn als men mij bekijkt,
Ik zal gesloten zijn, maar u mag naar mijn openheid vragen.
Maar dicht me niet, als ik open ben en geniet.
0xygen500
8 juni 2017 15:22
Platinumbackdoor in het filmpje? Van waar die naam,backdoor?
the_stickie
@0xygen5008 juni 2017 17:13
Een backdoor (achterdeur) is een gat in de beveiliging dat gemaakt en gebruikt wordt na de initiële aanval die toegang verschaft. De aanvaller hoopt zo toegang te behouden en/of data te transfereren zonder op te vallen.
Platinum is de naam van de groepering. Of dat een naam is die ze zelf ook gebruiken weet ik niet.
Marctraider
8 juni 2017 15:37
Het wordt tijd om die pinnetjes van die onnozele chip door te knippen op het moederbord! Die driver zooi installeer ik ook nooit en de 'Unknown PCI device' gaat hier standaard op disabled.
the_stickie
@Marctraider8 juni 2017 17:15
Deze chips hebben al lang geen pinnetjes meer ;)
Soldaatje
@the_stickie8 juni 2017 22:08
Daarom ook 'doorknippen op het moederbord!'. :P
CriticalHit_NL
@Marctraider8 juni 2017 18:27
Als je niet bepaalde chipset drivers en dergelijke van je moederbord installeert kan het zijn dat je systeem minder optimaal werkt, dan wel enkele features niet kan gebruiken. (Ja ook op Windows 7)
En dat van de PCI device kan een resultaat daarvan zijn of een apparaat in je machine die niet goed herkend wordt.

[Reactie gewijzigd door CriticalHit_NL op 8 juni 2017 18:27]

Eustace
8 juni 2017 15:53
Heeft iemand hier ook de source van? Ik zou dit best thuis eens willen proberen...
MISTERAMD
8 juni 2017 18:09
Hoe oud zijn deze lekken, dat ze nu pas "gevonden" zijn? Ofwel is er niemand meer mee bezig om nieuwe exploits te vinden. Er zijn nu toch al meer dan 5,000 lekken gevonden, denk ik, in de hele geschiedenis van Microsoft en hun software "Windows". Niemand deed ooit beter? :)
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee