Hoy Slashdot publicó un artículo sobre un nuevo exploit relacionado con el Intel Management Engine (ME) que permite una extracción de datos indetectable de un sistema a través de un túnel Serial-over-LAN a un host externo. Debido a que esto no implica al sistema operativo host, no es detectable allí (a través de la captura de paquetes).
Como no entiendo el artículo, generalmente no es posible deshabilitar simplemente el ME.
Esto me lleva a mi pregunta: ¿Qué contramedidas se pueden tomar para evitar que dicho túnel Serial-Over-Lan incluso se pueda establecer en un host externo?
Un comentario en el artículo original en bleepingcomputer.com , por ejemplo, pregunta acerca de los puertos que podrían estar bloqueados en un enrutador. La búsqueda preliminar no reveló ningún puerto habitual y no me sorprendería si no hay un puerto específico involucrado, porque está definido por software por cualquier RAT que se esté ejecutando en el host.
Reflexionando sobre esto, tuve la idea de que, dado que la pila TCP / IP de AMT aparentemente no está integrada en la pila del sistema operativo, ¿tal vez cambiar la dirección MAC del sistema operativo y aplicar un control de acceso MAC basado en enrutadores podría ser efectivo? Para mí, el sistema operativo host sería Windows 8. Pero me gustaría recibir respuestas para el sistema operativo host any .