Crédit : Dreamstime
Les fuites de chats internes du gang de rançongiciels Conti suggèrent que le groupe a en fait a enquêté et établi un code pour compromettre le moteur de gestion Intel (Intel ME), la fonctionnalité de gestion hors bande développée dans les chipsets Intel.
L’objectif de cette technique est de mettre en place un code nuisible au plus profond de l’ordinateur micrologiciel du système où il ne peut pas être obstrué par les systèmes d’exploitation et les éléments de sécurité des terminaux tiers.
Les implants de micrologiciel sont efficaces et sont généralement utilisés dans des opérations de grande valeur par des groupes de pirates parrainés par l’État. Au cours des deux dernières années, les gangs de cybercriminels ont également manifesté leur intérêt, les développeurs du célèbre botnet TrickBot ajoutant un module d’attaque UEFI en 2020.
Selon une nouvelle étude de la société de sécurité Eclypsium, le groupe de rançongiciels Conti a développé un code de preuve de concept pour utiliser le micrologiciel Intel ME et obtenir l’exécution du code en mode de gestion du système, une exécution extrêmement chanceuse environnement du CPU.
Qu’est-ce qu’Intel ME ?
Le moteur de gestion Intel est un sous-système qui existe dans de nombreux chipsets Intel et comprend un coprocesseur dédié et un système d’exploitation en temps réel utilisé pour les tâches de gestion hors bande.
Intel ME est essentiellement un système informatique à l’intérieur d’un ordinateur et est totalement séparé du système d’exploitation installé par l’utilisateur qui utilise le processeur principal. Selon le chipset et la génération de CPU, les variantes de l’innovation Intel ME sont connues sous le nom de Intel Converged Security and Management Engine (CSME) ou Intel Trusted Execution Environment.
Intel ME ne fonctionne pas seulement indépendamment du CPU principal et OS, il a également beaucoup de contrôle sur eux et éventuellement une méthode pour accéder à l’UEFI, le micrologiciel de bas niveau des systèmes informatiques modernes qui supervise l’initialisation des périphériques matériels, le démarrage du chargeur de démarrage et éventuellement le système d’exploitation principal. /p>
En février, suite à l’intrusion de la Russie en Ukraine, un chercheur a divulgué de nombreux journaux du système de chat interne de Conti. En évaluant ces journaux, les chercheurs d’Eclypsium ont découvert des discussions sur le ciblage d’Intel ME, à travers des vulnérabilités comprises et jusque-là inconnues pour accéder indirectement à l’UEFI.
Ceci est essentiel pour un certain nombre de facteurs. Certaines API authentiques permettent de reflasher le firmware UEFI depuis l’intérieur du système d’exploitation principal, par exemple pour la fonction de mises à jour.
Cependant, un UEFI correctement configuré effectue une confirmation de signature cryptographique pour les mises à jour et dispose de protections en écriture rendues possibles. De tels efforts pour reflasher l’UEFI peuvent être détectés et entravés par un logiciel de sécurité exécuté à l’intérieur du système d’exploitation.
Attaques UEFI précédentes et intérêt de Conti
En décembre 2020 , les scientifiques ont découvert un tout nouveau module TrickBot qui utilisait un chauffeur connu pour lire les détails du micrologiciel UEFI des systèmes informatiques contaminés, en essayant d’identifier ceux qui étaient mal configurés avec le registre de contrôle du BIOS ouvert.
D’autres groupes ont utilisé les erreurs de configuration ou les vulnérabilités de l’UEFI dans le passé, comme l’APT28 également appelé Fancy Bear et considéré comme une division de la société de renseignement militaire russe, le GRU. Un autre groupe APT connu pour avoir ciblé l’UEFI s’appelle MossaicRegressor.
En exploitant Intel ME et en obtenant un accès indirect à l’UEFI par cette méthode, les opposants pourraient contourner les défenses habituelles mises en place par les fabricants d’ordinateurs. Intel ME a en fait eu de nombreuses vulnérabilités signalées et couvertes au fil des ans.
« Il est essentiel de garder à l’esprit que de nombreux systèmes sont sensibles aux CVE couverts par ces avis Intel », ont déclaré les chercheurs d’Eclypsium. » Une analyse récente d’un réseau de production a révélé que 72,3 % des appareils étaient sensibles aux CVE dans Intel SA00391, qui contient le potentiel d’escalade des privilèges réseau.
61,45 % des gadgets étaient sensibles aux problèmes couverts dans SA00295, qui permet également l’escalade des avantages sur un réseau. Ces 2 avis de sécurité incluent des vulnérabilités de la divulgation Ripple20 et des vulnérabilités supplémentaires exploitables à distance dans la pile Treck TCP/IP découvertes par Intel à la suite de la divulgation initiale de Ripple20. «
Parmi les discussions évaluées, un développeur Conti dit à un autre membre qu’il a travaillé sur un rapport sur le fonctionnement du contrôleur Intel ME et de l’Intel Active Management Innovation (AMT) qui en est basé. Il souligne la découverte de commandes non documentées à l’aide de l’ingénierie inverse, du débogage et du fuzzing et souligne une étude de recherche antérieure menée par les sociétés de sécurité Favorable Technologies et Embedi.
Il déclare que l’objectif pourrait être d’établir un compte-gouttes (implant de logiciel malveillant) pour UEFI et potentiellement un qui s’exécute en SMM (System Management Mode).
Le SMM est un mode d’exécution extrêmement privilégié des processeurs x86 où toute exécution de code typique à partir du système d’exploitation est suspendue et un logiciel alternatif est exécuté. Habituellement, SMM est utilisé pour le débogage. Dans les conversations ultérieures de Conti, une capture d’écran est révélée suggérant qu’une preuve de concept a été établie.
» Un agresseur contrôlant le ME peut ensuite utiliser cet accès pour écraser le micrologiciel du système UEFI et obtenir l’exécution du code SMM. , » ont expliqué les scientifiques d’Eclypsium.
» Les informations sur la façon dont cela est fait varieront en fonction des types de sécurités et des paramètres du système cible. 2 des paramètres les plus cruciaux à cet égard sont si la sécurité de composition du BIOS (BIOS_WP) est correctement définie sur l’appareil, et si Intel ME a la possibilité de modifier différentes zones SPI dans le tableau de contrôle d’accès du descripteur SPI. «
Pourquoi les groupes criminels s’intéressent aux exploits du micrologiciel
Le fait que des groupes comme TrickBot et Conti disposent des ressources nécessaires pour embaucher des personnes ayant des connaissances en ingénierie inverse des micrologiciels de bas niveau et en réalisant des implants UEFI et SMM montre à quel point les rançongiciels et les attaques d’extorsion d’informations sont financièrement gratifiants pour les cyber-méchants.
Ces derniers mois, le gang Conti a attiré beaucoup de chaleur après avoir menacé d’attaquer des installations importantes en soutien au gouvernement fédéral russe et des agences gouvernementales débilitantes au Costa Rica. Le département américain de la Justice (DOJ) a annoncé une récompense pour des informations sur l’identité et la zone des dirigeants et des membres du groupe.
Certains experts en cybercriminalité pensent que le gang Conti est toujours en train de se renommer et éclatement en plusieurs autres groupes spécialisés. On pense que cette procédure a commencé plusieurs mois plus tôt, mais les outils qui ont été mis en place resteront avec ces groupes et seront probablement utilisés à l’avenir.
S’ils réussissent, davantage de groupes de cybercriminels feront de même et commenceront à cibler les micrologiciels, car de telles attaques ont beaucoup de valeur.
» En ce qui concerne les dommages, un agresseur peut réussir à «briquer» un système de manière permanente en écrasant le micrologiciel du système », ont déclaré les chercheurs d’Eclypsium. » Un adversaire pourrait utiliser ce niveau d’accès pour effacer le Master Boot Record ou d’autres fichiers de grande valeur sur un système.
» Des essuie-glaces tels que WhisperGate et HermeticWiper ont en fait joué un rôle important et continu dans le système russe. l’intrusion de l’Ukraine et donnent un aperçu clair de la capacité dommageable des attaques de bas niveau sur les gadgets. Alors que ces attaques d’essuie-glace de bas niveau ont équilibré environ un événement important par an, au tout premier trimestre de 2022, six essuie-glaces ou plus ont été découverts dans la nature. «
La détermination à long terme est une autre raison. En compromettant le micrologiciel, les assaillants peuvent éviter la détection et rester sur un système même après que le stockage normal a été nettoyé et que le système d’exploitation principal a été réinstallé.
De nombreux agresseurs se spécialisent dans la vente d’accès aux réseaux d’entreprise à d’autres cyber-escrocs pour déployer leurs menaces et certains gangs de rançongiciels ont l’habitude de frapper des organisations à plusieurs reprises, même après avoir payé la rançon aussitôt.
Atténuation des vulnérabilités Intel ME
Les scientifiques d’Eclypsium encouragent les organisations à analyser tous leurs ordinateurs pour détecter les vulnérabilités Intel ME reconnues et à utiliser les mises à jour de micrologiciel requises. Outils commerciaux et open source tels que CHIPSEC peuvent être utilisés pour ce faire.
Les organisations doivent également valider la stabilité du micrologiciel Intel ME sur leurs appareils en le comparant au micrologiciel légitime d’Intel. Cela doit de préférence être fait en utilisant des systèmes indépendants du système d’exploitation principal, car un micrologiciel compromis peut renvoyer de fausses informations aux outils au niveau du système d’exploitation.
En plus du firmware Intel ME, les équipes de sécurité doivent également vérifier la stabilité de la mémoire flash SPI qui contient l’UEFI/BIOS en plus de l’intégrité de l’UEFI lui-même, ont déclaré les chercheurs d’Eclypsium.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
