1826 Locust Street, Bainbridge, GA 31717 +1 (212) 269-1000 support@example.com

WebDesign si optimizare SEO

logo absolut web expert 99a

Promovare prin backlink

Vulnerabiliate Intel Management Engine - un coprocesor dedicat și un sistem de operare în timp real în afara benzii

Scurgerile de chat interne ale grupului de ransomware Conti sugerează că grupul a cercetat și dezvoltat cod pentru a compromite Intel Management Engine (Intel ME), funcționalitatea de gestionare în afara bandă încorporată în chipset-urile Intel. Scopul acestei tehnici este de a instala cod rău intenționat în interiorul firmware-ului computerului, unde acesta nu poate fi blocat de sistemele de operare și de produse de securitate de la terțe părți.

Implanturile de firmware sunt puternice și sunt utilizate de obicei în operațiuni de mare valoare de către grupurile de hackeri sponsorizate de stat. Cu toate acestea, în ultimii câțiva ani, bandele de criminali cibernetici au manifestat și ele interes, dezvoltatorii notoriei rețele botnet TrickBot adăugând un modul de atac UEFI în 2020. Conform unei noi cercetări efectuate de firma de securitate Eclypsium , grupul de ransomware Conti a dezvoltat o dovadă a conceptului. cod pentru a exploata firmware-ul Intel ME și a obține execuția codului în modul de gestionare a sistemului, un mediu de execuție extrem de privilegiat al procesorului.

Ce este Intel ME?

Intel Management Engine este un subsistem prezent în multe chipset-uri Intel și constă dintr-un coprocesor dedicat și un sistem de operare în timp real care este utilizat pentru sarcini de gestionare în afara benzii. Intel ME este în esență un computer în interiorul unui computer și este complet separat de sistemul de operare instalat de utilizator care utilizează procesorul principal. În funcție de chipset și generarea procesorului, variațiile tehnologiei Intel ME sunt cunoscute ca Intel Converged Security and Management Engine (CSME) sau Intel Trusted Execution Environment.

Nu numai că Intel ME rulează independent de procesorul și sistemul de operare principal, dar are, de asemenea, mult control asupra acestora și, potențial, o modalitate de a accesa UEFI, firmware-ul de nivel scăzut al computerelor moderne care se ocupă de inițializarea dispozitivelor hardware, pornind bootloader și în cele din urmă sistemul de operare principal.

În februarie, după invadarea Ucrainei de către Rusia, un cercetător a scurs multe jurnale din sistemul de chat intern al lui Conti. Analizând acele jurnale, cercetătorii de la Eclypsium au găsit discuții despre țintirea Intel ME, prin vulnerabilități cunoscute și necunoscute anterior, pentru a obține indirect acces la UEFI.

Acest lucru este important din mai multe motive. Unele API-uri legitime permit actualizarea firmware-ului UEFI din interiorul sistemului de operare principal, de exemplu în scopul actualizărilor. Cu toate acestea, un UEFI configurat corespunzător efectuează verificarea semnăturii criptografice pentru actualizări și are protecția la scriere activată. În plus, astfel de încercări de a reflash UEFI pot fi detectate și blocate de software-ul de securitate care rulează în sistemul de operare.

Atacurile UEFI din trecut și interesul lui Conti

În decembrie 2020, cercetătorii au descoperit un nou modul TrickBot care folosea un driver cunoscut pentru a citi informații din firmware-ul UEFI al computerelor infectate, încercând să le identifice pe cele configurate greșit cu registrul de control BIOS deblocat. Alte grupuri au exploatat configurările greșite sau vulnerabilitățile UEFI în trecut, cum ar fi APT28 cunoscut și sub numele de Fancy Bear și despre care se crede că este o divizie a agenției de informații militare a Rusiei, GRU. Un alt grup APT despre care se știe că a vizat UEFI este cunoscut sub numele de MossaicRegressor.

Prin exploatarea Intel ME și obținerea accesului indirect la UEFI în acest fel, atacatorii ar putea ocoli protecțiile normale puse în aplicare de producătorii de computere. Intel ME a avut multe vulnerabilități raportate și corectate de-a lungul anilor.

„Este important de remarcat faptul că multe sisteme sunt vulnerabile la CVE-urile incluse în aceste recomandări Intel”, au spus cercetătorii Eclypsium. „De exemplu, o analiză recentă a unei rețele de producție a constatat că 72,3% dintre dispozitive erau vulnerabile la CVE în Intel SA00391, care conține potențialul de escaladare a privilegiilor de rețea. De asemenea, 61,45% dintre dispozitive au fost vulnerabile la problemele acoperite în SA00295, care permite, de asemenea, escaladarea privilegiilor într-o rețea. Aceste două recomandări de securitate includ vulnerabilități din dezvăluirea Ripple20 și vulnerabilități suplimentare exploatabile de la distanță în stiva Treck TCP/IP găsite de Intel ca urmare a dezvăluirii inițiale Ripple20.”

Într-una dintre discuțiile analizate, un dezvoltator Conti îi spune unui alt membru că a lucrat la un raport despre modul în care funcționează controlerul Intel ME și Intel Active Management Technology (AMT) care se bazează pe acesta. El menționează descoperirea comenzilor nedocumentate folosind inginerie inversă, depanare și fuzzing și menționează cercetările anterioare ale companiilor de securitate Positive Technologies și Embedi.

El spune că scopul ar putea fi dezvoltarea unui dropper (implant malware) pentru UEFI și, eventual, unul care rulează în SMM (System Management Mode). SMM este un mod de execuție extrem de privilegiat al procesoarelor x86 în care toată execuția normală a codului din sistemul de operare este suspendată și este executat un software alternativ. De obicei, SMM este folosit pentru depanare. În conversațiile ulterioare Conti este afișată o captură de ecran care sugerează că a fost dezvoltată o dovadă de concept.

„Un atacator cu control asupra ME poate folosi acel acces pentru a suprascrie firmware-ul sistemului UEFI și pentru a obține executarea codului SMM”, au explicat cercetătorii Eclypsium. „Detaliile despre modul în care se face acest lucru vor varia în funcție de tipurile de protecție și setările sistemului țintă. Două dintre cele mai importante setări în acest sens sunt dacă protecția la scriere BIOS (BIOS_WP) este setată corect pe dispozitiv și dacă Intel ME are privilegiile de a modifica diferite regiuni SPI din tabelul de control al accesului din Descriptorul SPI.”

De ce grupurile criminale sunt interesate de exploatările de firmware

Faptul că grupuri precum TrickBot și Conti au resursele necesare pentru a angaja persoane cu experiență în inginerie inversă a firmware-ului de nivel scăzut și în implementarea implanturilor UEFI și SMM indică cât de profitabile sunt atacurile de tip ransomware și extorcare de date pentru infractorii cibernetici. În ultimele luni, gașca Conti a atras multă căldură după ce a amenințat că va ataca infrastructura critică în sprijinul guvernului rus și a paralizat agențiile guvernamentale din Costa Rica. Departamentul de Justiție al SUA (DOJ) a anunțat o recompensă pentru informații despre identitatea și locația liderilor și membrilor grupului.

Unii analiști ai criminalității cibernetice cred că gașca Conti este într-un proces de rebranding și de despărțire în mai multe alte grupuri specializate. Se crede că acest proces a început cu câteva luni în urmă, dar instrumentele care au fost dezvoltate vor rămâne la acele grupuri și vor fi probabil folosite în viitor. Dacă au succes, este posibil ca mai multe grupuri de criminali cibernetici să urmeze exemplul și să înceapă să vizeze firmware-ul computerelor, deoarece astfel de atacuri au o mare valoare.

„În ceea ce privește daunele, un atacator poate „caramida” în mod eficient un sistem în mod permanent, suprascriind firmware-ul sistemului”, au spus cercetătorii Eclypsium. „În mod similar, un atacator ar putea folosi acest nivel de acces pentru a șterge Master Boot Record sau alte fișiere de mare valoare dintr-un sistem. Ștergătoarele precum WhisperGate și HermeticWiper au jucat un rol major și continuu în invazia rusă a Ucrainei și oferă o reamintire clară a potențialului dăunător al atacurilor la nivel scăzut asupra dispozitivelor. În timp ce astfel de atacuri de ștergătoare de nivel scăzut au înregistrat în medie aproximativ un eveniment major pe an, în primul trimestru al anului 2022, au fost descoperite șase sau mai multe ștergătoare în sălbăticie.”

Persistența îndelungată este un alt motiv. Prin compromiterea firmware-ului, atacatorii pot evita detectarea și pot rămâne pe un sistem chiar și după ce spațiul de stocare normal a fost șters și sistemul de operare principal a fost reinstalat. Mulți atacatori sunt specializați în vânzarea accesului la rețelele corporative altor infractori cibernetici pentru a-și implementa amenințările, iar unele bande de ransomware au o istorie de a lovi organizații de mai multe ori, chiar și după ce au plătit răscumpărarea o singură dată.

Reducerea vulnerabilităților Intel ME

Cercetătorii Eclypsium sfătuiesc organizațiile să își scaneze toate computerele pentru vulnerabilități cunoscute Intel ME și să aplice actualizările necesare de firmware. instrumente comerciale, precum și open-source, cum ar fi CHIPSEC . Pentru a face acest lucru, pot fi utilizate

Organizațiile ar trebui, de asemenea, să verifice integritatea firmware-ului Intel ME pe dispozitivele lor, comparându-l cu firmware-ul valid de la Intel. În mod ideal, acest lucru ar trebui făcut folosind mecanisme care sunt independente de sistemul de operare principal, deoarece firmware-ul compromis poate transmite informații false instrumentelor la nivel de sistem de operare. Pe lângă firmware-ul Intel ME, echipele de securitate ar trebui să verifice și integritatea memoriei flash SPI care conține UEFI/BIOS, precum și integritatea UEFI în sine, au spus cercetătorii Eclypsium.

 

Surse

Sursa: de Lucian Constantin - Vulnerabilitățile Intel Management Engine

Intel® Management Engine Critical Firmware Update (Intel-SA-00086)

Noutăti pe email