Conti s’intéressait aux sous-systèmes d’administration des hôtes Intel

Les chercheurs de l’éditeur de solutions de sécurité Eclypsium ont analysé les échanges rendus publics en début d’année entre les membres de Conti – suspecté d’être entré en phase de dilution.

Certains de ces échanges décrivent les efforts de la franchise mafieuse pour cibler les mécanismes d’administration à distance des systèmes Intel, l’IME et le CSME.

« Les conversations divulguées indiquent que le groupe Conti avait déjà développé un code démonstrateur pour ces méthodes il y a neuf mois », explique l’équipe d’Eclypsium dans un billet de blog. Et, « par conséquent, nous nous attendons à ce que ces techniques soient utilisées dans la nature dans un avenir proche, si ce n’est déjà fait ».

Conçus pour aider les administrateurs à gérer et mettre à jour les systèmes à distance, IME et CSME fonctionnent sur un microcontrôleur embarqué, dont le code s’exécute sous le niveau du système d’exploitation. IME est l’ancienne version de la technologie, qui fonctionne sur les systèmes pré-Skylake, tandis que CSME fonctionne sur les cartes Skylake et ultérieures.

Des vulnérabilités notables ont été découvertes dans CSME et IME ces dernières années ; les chercheurs d’Eclypsium ont déclaré que les opérateurs de Conti avaient recours au fuzzing contre les deux plateformes de microcode pour trouver de nouvelles faiblesses et vulnérabilités.

« L’analyse des communications internes de Conti a révélé que les attaquants étudiaient en profondeur les vulnérabilités liées à IME ainsi qu’à BIOS_WP (BIOS Write Protection) », indique Eclypsium. « Il s’agit d’un changement significatif de tactique par rapport aux menaces les plus récentes liées aux micrologiciels ».

À partir de ces microcontrôleurs, il devient possible d’accéder à l’UEFI. Selon les chercheurs, c’est exactement la raison pour laquelle les pirates de Conti voudraient compromettre IME et CSME. En prenant le contrôle des puces, les attaquants seraient en mesure de manipuler les paramètres UEFI et BIOS.

Dans certains cas, cela permettrait au pirate de bloquer le système en effaçant toutes les données et en empêchant toute mise à jour ou récupération future.

Eclypsium estime toutefois que les membres de Conti ont d’autres projets pour leurs exploits. Le fait d’avoir accès à la carte elle-même à très bas niveau donnerait effectivement à l’intrus une persistance totale sur une machine compromise, et la possibilité de rétablir le contrôle de cette machine même après la détection et la fermeture de la brèche initiale.

« Les attaquants sont en mesure d’utiliser les privilèges uniques du microcode pour échapper à un large éventail de fonctions et de produits de sécurité afin d’établir une persistance continue sur un appareil », estime ainsi l’équipe d’Eclypsium. « Des groupes comme Conti monétisent directement cette persistance en revendant l’accès à d’autres acteurs de la menace, voire en déposant des charges utiles de ransomware supplémentaires à une date ultérieure ».

L’accès au code embarqué des IME et CSME nécessiterait toutefois déjà que l’attaquant dispose de droits d’administration sur les machines concernées. À partir de là, l’intrus dépose un pilote spécialement conçu pour accéder aux failles, les exploiter et envoyer des commandes aux puces. Malheureusement pour les administrateurs et les défenseurs, les affidés de Conti ont montré qu’ils n’avaient guère de difficulté à obtenir ce genre de privilèges.