Conti: Ransomware-Gruppe arbeitet an Exploit für Intel ME

Mit der Ausnutzung von Sicherheitslücken in Intels Firmware lassen sich Angriffe sehr lang verstecken und Gegenmaßnahmen sabotieren.

Artikel veröffentlicht am ,
Der Intel-Chipsatz aus einem Notebook. Darauf befindet sich die Intel ME.
Der Intel-Chipsatz aus einem Notebook. Darauf befindet sich die Intel ME. (Bild: Marc Sauter/Golem.de)

Die für ihre zahlreichen Ransomware-Angriffe bekannte Gruppe Conti verfügt offenbar zumindest über Beispielcode, um die Firmware auf Intel-Chips über die sogenannte Intel ME anzugreifen. Das berichtet das Sicherheitsunternehmen Eclypsium unter Verweis auf Leaks der internen Kommunikation von Conti.

Stellenmarkt
  1. Mitarbeiter Qualitätssicherung Softwareentwicklung Sozialwesen (m/w/d)
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
  2. Wissenschaftl. Mitarbeiter*in - Kommunikations-Infrastruktur- en für datengetriebene Techn. ... (m/w/d)
    Fraunhofer-Institut für Produktionstechnik und Automatisierung IPA, Stuttgart
Detailsuche

Den Angaben zufolge hat die Gruppen den sogenannten Proof-of-Concept bereits vor rund neun Monaten erstellt. Dazu schreibt das Unternehmen in seiner Analyse: "Wir gehen davon aus, dass diese Techniken in naher Zukunft auch in freier Wildbahn zum Einsatz kommen werden, wenn sie es nicht schon getan haben".

Seit einigen Jahren geraten die Intel-Firmware in ihren verschiedenen Ausprägungen als Intel ME und Intel CSME, die Server Platform Services oder Intels TXT immer mehr in den Fokus von Sicherheitsforschern. Immerhin handelt es sich dabei um ein System im System, samt eigener CPU, eigenem Betriebssystem und eigener Software-Komponenten. Bereits vor Jahren gelang Forschern über Sicherheitslücken in der Technik ein Vollzugriff darauf. Selbst Lücken im Boot-Rom sind gefunden worden. Doch trotz der weiten Verbreitung von Intel-Chips ist bisher kaum bekannt, dass die Sicherheitslücken in der Intel ME auch tatsächlich für Exploits genutzt werden - abgesehen von der Fernwartungskomponente Intel AMT.

Eclypsium schreibt weiter: "Es ist wichtig zu beachten, dass keine neuen oder nicht behobenen Schwachstellen identifiziert wurden und dass Intel-Chipsätze nicht mehr oder weniger anfällig sind als jeder andere Code. Das Problem ist, dass die meisten Unternehmen ihre Chipsatz-Firmware nicht mit derselben Regelmäßigkeit aktualisieren wie ihre Software oder sogar die UEFI/BIOS-Systemfirmware. Dies kann dazu führen, dass einige der leistungsfähigsten und privilegiertesten Codes auf einem Gerät anfällig für Angriffe sind."

Angriffe setzen immer tiefer an

Golem Karrierewelt
  1. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    22./23.09.2022, virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    29./30.06.2022, virtuell
Weitere IT-Trainings

Das Forschungsteam warnt darüber hinaus davor, das Exploits der ME noch tiefer im System sitzen, also dies etwa bei UEFI-Angriffen wie Trickboot der Fall sei. Die Conti-Gruppe fokussiere sich dabei auf das Host Embedded Controller Interface (HECI), das per Fuzzing untersucht werde, auf einen möglichen Zugriff auf den SPI-Flash, um Sicherheitsvorkehrungen zu umgehen, sowie auf Malware im System Management Mode (SMM).

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Der SMM ist komplett abgetrennt vom üblichen System, also etwa Windows oder Linux, und kann aus diesen heraus nicht untersucht werden. Eine Malware könnte also den Kernel im laufenden Betrieb ändern, so Eclypsium. Eben solch eine Malware habe Conti auch erstellt. Zur Infektion von Geräten müssten die Angreifer aber zunächst das Betriebssystem selbst infizieren und Kontrolle über die ME erhalten, was auch am Betriebssystem vorbei möglich sei. Von der ME aus kann dann der SMM genutzt oder das UEFI umgeschrieben werden.

Das Forschungsteam von Eclypsium kommt deshalb zu dem Schluss: "Die Umstellung auf ME-Firmware bietet Angreifern eine weitaus größere Auswahl potenzieller Opfer und einen neuen Weg, um an den privilegiertesten Code und die Ausführungsmodi moderner Systeme zu gelangen." Insbesondere Unternehmen sollten deshalb ihre Verteidigung und entsprechende Strategien ausbauen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Unix-Nachfolger
Plan 9 sollte bessere Audio-Kompression bekommen als MP3

Die Entwicklung der Audio-Kompression und die schwierige MP3-Patentsituation hätte ohne das Nein eines Anwalts wohl anders ausgesehen.

Unix-Nachfolger: Plan 9 sollte bessere Audio-Kompression bekommen als MP3
Artikel
  1. Vision, Disruption, Transformation: Populäre Denkfehler in der Digitalisierung
    Vision, Disruption, Transformation
    Populäre Denkfehler in der Digitalisierung

    Der Essay Träge Transformation hinterfragt Schlagwörter des IT-Managements und räumt mit gängigen Vorstellungen auf. Die Lektüre ist aufschlussreich und sogar lustig.
    Eine Rezension von Ulrich Hottelet

  2. Hermit: Google analysiert italienischen Staatstrojaner
    Hermit
    Google analysiert italienischen Staatstrojaner

    Der Staatstrojaner einer italienische Firma funktioniert sogar in Zusammenarbeit mit dem ISP. Dafür braucht es nicht zwingend ausgefallene Exploits.

  3. Pro Electric SuperVan: Ford zeigt Elektro-Van mit 1.490 kW
    Pro Electric SuperVan
    Ford zeigt Elektro-Van mit 1.490 kW

    Ford hat auf dem Goodwood Festival of Speed den Ford Pro Electric SuperVan gezeigt, der die Tradition der Transit-Showcars des Unternehmens fortsetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Prime Video: Filme leihen 0,99€ • Alternate: Gehäuse & Co. von Fractal Design • Nur noch heute: 16.000 Artikel günstiger bei MediaMarkt • MindStar (Samsung 970 EVO Plus 250GB 39€) • Hori RWA 87,39€ • Honor X7 128GB 150,42€ • Phanteks Eclipse P200A + Glacier One 280 157,89€ [Werbung]
    •  /