Conti: Ransomware-Gruppe arbeitet an Exploit für Intel ME

Mit der Ausnutzung von Sicherheitslücken in Intels Firmware lassen sich Angriffe sehr lang verstecken und Gegenmaßnahmen sabotieren.

Artikel veröffentlicht am ,
Der Intel-Chipsatz aus einem Notebook. Darauf befindet sich die Intel ME.
Der Intel-Chipsatz aus einem Notebook. Darauf befindet sich die Intel ME. (Bild: Marc Sauter/Golem.de)

Die für ihre zahlreichen Ransomware-Angriffe bekannte Gruppe Conti verfügt offenbar zumindest über Beispielcode, um die Firmware auf Intel-Chips über die sogenannte Intel ME anzugreifen. Das berichtet das Sicherheitsunternehmen Eclypsium unter Verweis auf Leaks der internen Kommunikation von Conti.

Stellenmarkt
  1. IT-Administrator Netzwerk (w/m/d)
    Dataport, verschiedene Standorte
  2. Systembetreuer (m/w/d) KIS / digitale Anwendung für Patienten
    MEDIAN Unternehmensgruppe, Berlin
Detailsuche

Den Angaben zufolge hat die Gruppen den sogenannten Proof-of-Concept bereits vor rund neun Monaten erstellt. Dazu schreibt das Unternehmen in seiner Analyse: "Wir gehen davon aus, dass diese Techniken in naher Zukunft auch in freier Wildbahn zum Einsatz kommen werden, wenn sie es nicht schon getan haben".

Seit einigen Jahren geraten die Intel-Firmware in ihren verschiedenen Ausprägungen als Intel ME und Intel CSME, die Server Platform Services oder Intels TXT immer mehr in den Fokus von Sicherheitsforschern. Immerhin handelt es sich dabei um ein System im System, samt eigener CPU, eigenem Betriebssystem und eigener Software-Komponenten. Bereits vor Jahren gelang Forschern über Sicherheitslücken in der Technik ein Vollzugriff darauf. Selbst Lücken im Boot-Rom sind gefunden worden. Doch trotz der weiten Verbreitung von Intel-Chips ist bisher kaum bekannt, dass die Sicherheitslücken in der Intel ME auch tatsächlich für Exploits genutzt werden - abgesehen von der Fernwartungskomponente Intel AMT.

Eclypsium schreibt weiter: "Es ist wichtig zu beachten, dass keine neuen oder nicht behobenen Schwachstellen identifiziert wurden und dass Intel-Chipsätze nicht mehr oder weniger anfällig sind als jeder andere Code. Das Problem ist, dass die meisten Unternehmen ihre Chipsatz-Firmware nicht mit derselben Regelmäßigkeit aktualisieren wie ihre Software oder sogar die UEFI/BIOS-Systemfirmware. Dies kann dazu führen, dass einige der leistungsfähigsten und privilegiertesten Codes auf einem Gerät anfällig für Angriffe sind."

Angriffe setzen immer tiefer an

Golem Karrierewelt
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    18./19.07.2022, virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
Weitere IT-Trainings

Das Forschungsteam warnt darüber hinaus davor, das Exploits der ME noch tiefer im System sitzen, also dies etwa bei UEFI-Angriffen wie Trickboot der Fall sei. Die Conti-Gruppe fokussiere sich dabei auf das Host Embedded Controller Interface (HECI), das per Fuzzing untersucht werde, auf einen möglichen Zugriff auf den SPI-Flash, um Sicherheitsvorkehrungen zu umgehen, sowie auf Malware im System Management Mode (SMM).

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Der SMM ist komplett abgetrennt vom üblichen System, also etwa Windows oder Linux, und kann aus diesen heraus nicht untersucht werden. Eine Malware könnte also den Kernel im laufenden Betrieb ändern, so Eclypsium. Eben solch eine Malware habe Conti auch erstellt. Zur Infektion von Geräten müssten die Angreifer aber zunächst das Betriebssystem selbst infizieren und Kontrolle über die ME erhalten, was auch am Betriebssystem vorbei möglich sei. Von der ME aus kann dann der SMM genutzt oder das UEFI umgeschrieben werden.

Das Forschungsteam von Eclypsium kommt deshalb zu dem Schluss: "Die Umstellung auf ME-Firmware bietet Angreifern eine weitaus größere Auswahl potenzieller Opfer und einen neuen Weg, um an den privilegiertesten Code und die Ausführungsmodi moderner Systeme zu gelangen." Insbesondere Unternehmen sollten deshalb ihre Verteidigung und entsprechende Strategien ausbauen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
LED-Panel und Raspberry Pi
Eine schicke Berlin-Uhr fürs Wohnzimmer

Es braucht nur ein 64x64-LED-Panel und ein bisschen C#-Programmierung, um die Berlin-Uhr auf den Raspberry Pi zu bringen.
Eine Anleitung von Michael Bröde

LED-Panel und Raspberry Pi: Eine schicke Berlin-Uhr fürs Wohnzimmer
Artikel
  1. Ohne Kreditrahmen: Action-Rollenspiele, die besser sind als Diablo Immortal
    Ohne Kreditrahmen
    Action-Rollenspiele, die besser sind als Diablo Immortal

    Enttäuscht von Blizzards Pay-to-Win-Diablo? Diese aktuellen Rollenspiele für Mobile und PC sind die besseren Alternativen.
    Von Rainer Sigl

  2. Rückwirkend legalisiert: Umstrittene Europol-Verordnung tritt in Kraft
    Rückwirkend legalisiert
    Umstrittene Europol-Verordnung tritt in Kraft

    Die Ermittler von Europol dürfen künftig Big-Data-Töpfe mit personenbezogenen Daten nutzen - auch von Unverdächtigen.

  3. Programmiersprache: GCC-Frontend für Rust könnte 2022 eingepflegt werden
    Programmiersprache
    GCC-Frontend für Rust könnte 2022 eingepflegt werden

    Der wohl wichtigste Teil der Sprachunterstützung von Rust ist für GCC aber noch nicht fertig.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG UltraGear 27" WQHD 165 Hz 299€ • Switch OLED günstig wie nie: 333€ • MindStar (MSI Optix 27" WQHD 165 Hz 249€, MSI RX 6700 XT 499€) • Sony PS5-Controller 56,90€ • Alternate (SSDs & RAM von Kingston) • PNY RTX 3080 12GB günstig wie nie: 929€ • Top-TVs bis 53% Rabatt [Werbung]
    •  /