Eine Analyse von durchgesickerten Chats der berüchtigten Conti-Ransomware-Gruppe Anfang des Jahres hat ergeben, dass das Syndikat an einer Reihe von Firmware-Angriffstechniken gearbeitet hat, die einen Weg zum Zugriff auf privilegierten Code auf kompromittierten Geräten bieten könnten.
„Die Kontrolle über die Firmware gibt den Angreifern praktisch unübertroffene Möglichkeiten, sowohl direkten Schaden anzurichten als auch andere langfristige strategische Ziele zu verfolgen“, so das Firmware- und Hardware-Sicherheitsunternehmen Eclypsium in einem Bericht, der The Hacker News vorliegt.
„Ein solcher Zugriff würde es einem Angreifer ermöglichen, einen irreparablen Schaden an einem System zu verursachen oder eine fortlaufende Persistenz zu etablieren, die für das Betriebssystem praktisch unsichtbar ist.“
Konkret geht es um Angriffe auf eingebettete Mikrocontroller wie die Intel Management Engine (ME), eine privilegierte Komponente, die Teil der Prozessorchipsätze des Unternehmens ist und das Betriebssystem vollständig umgehen kann.
Die Gespräche zwischen den Conti-Mitgliedern, die durchgesickert sind, nachdem die Gruppe Russland ihre Unterstützung beim Einmarsch in die Ukraine zugesagt hatte, haben Aufschluss über die Versuche des Syndikats gegeben, nach Schwachstellen in der ME-Firmware und dem BIOS-Schreibschutz zu suchen.
Dazu gehörte das Auffinden von undokumentierten Befehlen und Schwachstellen in der ME-Schnittstelle, die Ausführung von Code im ME, um auf den SPI-Flash-Speicher zuzugreifen und diesen umzuschreiben, und das Einschleusen von Implantaten auf Systemmanagement-Modus (SMM)-Ebene, die sogar den Kernel verändern konnten.
Die Forschung manifestierte sich schließlich im Juni 2021 in Form eines Proof-of-Concept (PoC)-Codes, der die Ausführung von SMM-Code ermöglicht, indem er die Kontrolle über das ME erlangt, nachdem er über herkömmliche Vektoren wie Phishing, Malware oder eine Kompromittierung der Lieferkette Zugriff auf den Host erhalten hat, wie die durchgesickerten Chats zeigen.
„Durch die Verlagerung des Schwerpunkts auf Intel ME und auf Geräte, bei denen das BIOS schreibgeschützt ist, könnten Angreifer leicht weitaus mehr verfügbare Zielgeräte finden“, so die Forscher.
Das ist aber noch nicht alles. Die Kontrolle über die Firmware könnte auch ausgenutzt werden, um langfristige Persistenz zu erlangen, Sicherheitslösungen zu umgehen und irreparable Systemschäden zu verursachen, die es dem Angreifer ermöglichen, zerstörerische Angriffe zu starten, wie es im russisch-ukrainischen Krieg der Fall war.
„Die Conti-Leaks haben eine strategische Verschiebung aufgedeckt, die Firmware-Angriffe noch weiter von den neugierigen Augen traditioneller Sicherheitstools entfernt“, so die Forscher.
„Die Verlagerung auf ME-Firmware verschafft Angreifern einen weitaus größeren Pool an potenziellen Opfern und einen neuen Weg, um die privilegiertesten Codes und Ausführungsmodi auf modernen Systemen zu erreichen.