Согласно анализу утекших чатов группы вымогателей Conti в начале 2022 года, синдикат работает над набором методов атаки на микропрограммы, которые могут помочь получить доступ к привилегированному коду на скомпрометированном устройстве.
«Контроль над прошивкой даст злоумышленнику неограниченные возможности как для нанесения ущерба, так и для достижения других долгосрочных стратегических целей. Такой уровень доступа позволит злоумышленнику нанести непоправимый ущерб системе или установить постоянную устойчивость, невидимую для операционной системы», — указано в отчете Eclypsium .
Атаки могут быть направлены на встроенный микроконтроллер Intel Management Engine (ME) , привилегированный компонент, который является подсистемой процессоров Intel и может полностью обойти операционную систему. Conti пытаются найти уязвимости, связанные с прошивкой ME и защитой от записи BIOS.
Попытки группы включают в себя поиск уязвимостей в интерфейсе ME, выполнение кода в ME для доступа и перезаписи флэш-памяти SPI, а также удаление имплантатов режима управления системой (System Management Mode, SMM), которые можно использовать даже для модификации ядра.
Контроль над прошивкой также может быть использован для обеспечения долгосрочной активности, обхода защиты и нанесения непоправимого ущерба системе, что позволяет злоумышленнику проводить разрушительные атаки.
«Переход на прошивку ME дает злоумышленникам гораздо больший объем потенциальных жертв для атаки и новый путь к получению наиболее привилегированного кода», —
добавили специалисты.
Источник: SecurityLab