Oggi Slashdot ha pubblicato un articolo su un nuovo exploit che coinvolge Intel Management Engine (ME) che consente l'estrazione non rilevabile dei dati da un sistema tramite un tunnel Serial-over-LAN verso un host esterno. Perché questo non coinvolge il sistema operativo host non è rilevabile lì (tramite l'acquisizione di pacchetti).
Come faccio a leggere un articolo, in genere non è possibile disabilitare semplicemente il ME.
Questo porta alla mia domanda: quali contromisure possono essere adottate per evitare che tale tunnel Serial-Over-Lan possa essere stabilito anche su un host esterno.
Un commento nell'articolo originale su bleepingcomputer.com per esempio chiede informazioni sulle porte che potrebbero essere bloccate in un router. La ricerca preliminare non ha rivelato alcuna porta usuale e non sarei sorpreso se non fosse coinvolta una porta specifica, poiché è definita dal software con qualsiasi RAT in esecuzione sull'host.
Riflettendo su questo, ho avuto l'idea che, poiché lo stack TCP / IP AMT non è apparentemente integrato nello stack del sistema operativo, forse il cambiamento dell'indirizzo MAC del SO e l'applicazione di un controllo degli accessi MAC basato sul router potrebbe essere efficace? Per me, il sistema operativo host sarebbe Windows 8. Ma sarei felice di ricevere risposte per qualsiasi sistema operativo host.