Un análisis de chats filtrados del notorio grupo de ransomware Conti a principios de este año reveló que el sindicato ha estado trabajando en un conjunto de técnicas de ataque de firmware que podrían ofrecer una ruta para acceder a código privilegiado en dispositivos comprometidos.
“El control sobre el firmware otorga a los atacantes poderes prácticamente inigualables tanto para causar daños directamente como para permitir otros objetivos estratégicos a largo plazo”, firma de seguridad de firmware y hardware Eclypsium. dijo en un informe compartido con The Hacker News.
“Tal nivel de acceso permitiría a un adversario causar un daño irreparable a un sistema o establecer una persistencia continua que es virtualmente invisible para el sistema operativo”.
Específicamente, esto incluye ataques dirigidos a microcontroladores integrados como Intel Motor de gestión (YO), un componente privilegiado que forma parte de los conjuntos de chips del procesador de la empresa y que puede eludir por completo el sistema operativo.
Vale la pena señalar que la razón de este enfoque evolutivo no es que haya nuevas vulnerabilidades de seguridad en los conjuntos de chips de Intel, sino que se basa en la posibilidad de que “las organizaciones no actualicen el firmware de sus conjuntos de chips con la misma regularidad que lo hacen con su software o incluso con la misma frecuencia”. Firmware del sistema UEFI/BIOS”.
Las conversaciones entre los miembros de Conti, que se filtraron después de que el grupo prometiera su apoyo a Rusia en la invasión de Ucrania por parte de este último, han arrojado luz sobre los intentos del sindicato de explotar vulnerabilidades relacionadas con el firmware ME y la protección contra escritura del BIOS.
Esto implicó encontrar vulnerabilidades y comandos no documentados en la interfaz de ME, lograr la ejecución de código en ME para acceder y reescribir la memoria flash SPI, y descartar los implantes de nivel de Modo de administración del sistema (SMM), que podrían aprovecharse para incluso modificar el kernel.
La investigación finalmente se manifestó en forma de un código de prueba de concepto (PoC) en junio de 2021 que puede obtener la ejecución del código SMM al obtener el control del ME después de obtener acceso inicial al host por medio de vectores tradicionales como phishing, malware, o un compromiso de la cadena de suministro, muestran los chats filtrados.
“Al cambiar el enfoque a Intel ME, así como a los dispositivos de destino en los que el BIOS está protegido contra escritura, los atacantes podrían encontrar fácilmente muchos más dispositivos de destino disponibles”, dijeron los investigadores.
Eso no es todo. El control sobre el firmware también podría explotarse para obtener persistencia a largo plazo, evadir soluciones de seguridad y causar daños irreparables en el sistema, lo que permitiría al actor de amenazas montar ataques destructivos como se vio durante la guerra ruso-ucraniana.
“Las filtraciones de Conti expusieron un cambio estratégico que aleja aún más los ataques de firmware de las miradas indiscretas de las herramientas de seguridad tradicionales”, dijeron los investigadores.
“El cambio al firmware ME brinda a los atacantes un grupo mucho más grande de víctimas potenciales para atacar, y una nueva vía para alcanzar el código y los modos de ejecución más privilegiados disponibles en los sistemas modernos”.