Conti: Ransomware-Gruppe arbeitet an Exploit für Intel ME

Die für ihre zahlreichen Ransomware-Angriffe bekannte Gruppe Conti verfügt offenbar zumindest über Beispielcode, um die Firmware auf Intel-Chips über die sogenannte Intel ME anzugreifen. Das berichtet das Sicherheitsunternehmen Eclypsium unter Verweis auf Leaks der internen Kommunikation von Conti.

Den Angaben zufolge hat die Gruppen den sogenannten Proof-of-Concept bereits vor rund neun Monaten erstellt. Dazu schreibt das Unternehmen in seiner Analyse: "Wir gehen davon aus, dass diese Techniken in naher Zukunft auch in freier Wildbahn zum Einsatz kommen werden, wenn sie es nicht schon getan haben".

Seit einigen Jahren geraten die Intel-Firmware in ihren verschiedenen Ausprägungen als Intel ME und Intel CSME, die Server Platform Services oder Intels TXT immer mehr in den Fokus von Sicherheitsforschern. Immerhin handelt es sich dabei um ein System im System, samt eigener CPU, eigenem Betriebssystem und eigener Software-Komponenten. Bereits vor Jahren gelang Forschern über Sicherheitslücken in der Technik ein Vollzugriff darauf. Selbst Lücken im Boot-Rom sind gefunden worden. Doch trotz der weiten Verbreitung von Intel-Chips ist bisher kaum bekannt, dass die Sicherheitslücken in der Intel ME auch tatsächlich für Exploits genutzt werden - abgesehen von der Fernwartungskomponente Intel AMT.

Eclypsium schreibt weiter: "Es ist wichtig zu beachten, dass keine neuen oder nicht behobenen Schwachstellen identifiziert wurden und dass Intel-Chipsätze nicht mehr oder weniger anfällig sind als jeder andere Code. Das Problem ist, dass die meisten Unternehmen ihre Chipsatz-Firmware nicht mit derselben Regelmäßigkeit aktualisieren wie ihre Software oder sogar die UEFI/BIOS-Systemfirmware. Dies kann dazu führen, dass einige der leistungsfähigsten und privilegiertesten Codes auf einem Gerät anfällig für Angriffe sind."

Angriffe setzen immer tiefer an

Das Forschungsteam warnt darüber hinaus davor, das Exploits der ME noch tiefer im System sitzen, also dies etwa bei UEFI-Angriffen wie Trickboot der Fall sei. Die Conti-Gruppe fokussiere sich dabei auf das Host Embedded Controller Interface (HECI), das per Fuzzing untersucht werde, auf einen möglichen Zugriff auf den SPI-Flash, um Sicherheitsvorkehrungen zu umgehen, sowie auf Malware im System Management Mode (SMM).

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Der SMM ist komplett abgetrennt vom üblichen System, also etwa Windows oder Linux, und kann aus diesen heraus nicht untersucht werden. Eine Malware könnte also den Kernel im laufenden Betrieb ändern, so Eclypsium. Eben solch eine Malware habe Conti auch erstellt. Zur Infektion von Geräten müssten die Angreifer aber zunächst das Betriebssystem selbst infizieren und Kontrolle über die ME erhalten, was auch am Betriebssystem vorbei möglich sei. Von der ME aus kann dann der SMM genutzt oder das UEFI umgeschrieben werden.

Das Forschungsteam von Eclypsium kommt deshalb zu dem Schluss: "Die Umstellung auf ME-Firmware bietet Angreifern eine weitaus größere Auswahl potenzieller Opfer und einen neuen Weg, um an den privilegiertesten Code und die Ausführungsmodi moderner Systeme zu gelangen." Insbesondere Unternehmen sollten deshalb ihre Verteidigung und entsprechende Strategien ausbauen.