تسربت مفاتيح أمان اللوحة الأم منخفضة المستوى في خرق MSI ، حسب زعم الباحثين

منذ حوالي شهر ، كتبنا عن أ إشعار خرق البيانات صادر عن شركة MSI الرئيسية للوحة الأم.

وقالت الشركة:

تعرضت MSI مؤخرًا لهجوم إلكتروني على جزء من أنظمة المعلومات الخاصة بها. [...] في الوقت الحالي ، استأنفت الأنظمة المتأثرة عملياتها العادية تدريجياً ، دون أي تأثير كبير على الأعمال المالية. [...] تحث MSI المستخدمين على الحصول على تحديثات البرامج الثابتة / BIOS فقط من موقعها الرسمي ، وعدم استخدام ملفات من مصادر أخرى غير الموقع الرسمي.

جاء إعلان mea culpa الخاص بالشركة بعد يومين من قيام عصابة الابتزاز الإلكتروني التي تحمل اسم Money Message بدعوى سرقتها لشفرة مصدر MSI وأدوات تطوير BIOS والمفاتيح الخاصة.

في ذلك الوقت ، كان المجرمون لا يزالون في وضع العد التنازلي ، وادعوا أنهم سيفعلون ذلك "نشر البيانات المسروقة عند انتهاء الموقت":

توقفت الساعة

انتهت صلاحية "مؤقت الكشف" في لقطة الشاشة أعلاه في 2023-04-07 ، قبل أكثر من شهر بقليل ، ولكن موقع Money Message على الويب المظلم لم يتغير منذ النشر الأولي للعصابة:

ومع ذلك ، يدعي الباحثون في شركة أبحاث الثغرات الأمنية Binarly ليس فقط أنهم حصلوا على البيانات المسروقة في الخرق ، ولكن أيضًا بحثوا من خلالها عن مفاتيح crpyotgraphic المضمنة وتوصلوا إلى العديد من النتائج.

حتى الآن ، تطالب Binarly بـ جيثب و تويتر لاستخراج العديد من مفاتيح التوقيع من البيانات التي بحوزتها ، بما في ذلك ما تصفه [2023-05-09T14: 00Z] على النحو التالي:

• 1 مفتاح Intel OEM. على ما يبدو ، يمكن استخدام هذا المفتاح للتحكم في تصحيح أخطاء البرامج الثابتة على 11 لوحة رئيسية مختلفة.
• 27 مفتاح توقيع صورة. يدعي Binarly أنه يمكن استخدام هذه المفاتيح لتوقيع تحديثات البرامج الثابتة لـ 57 لوحة أم مختلفة من MSI.
• 4 مفاتيح Intel Boot Guard. يبدو أن هذه المفاتيح المسربة تتحكم في التحقق من وقت التشغيل لرمز البرنامج الثابت لـ 116 لوحة أم مختلفة من MSI.

حماية BIOS المستندة إلى الأجهزة

وفقا لشركة إنتل الوثائق الخاصة، يمكن حماية اللوحات الأم الحديثة المستندة إلى Intel من خلال طبقات متعددة من أمان التشفير.

يأتي أولا حارس BIOS، والذي يسمح فقط للكود الذي تم توقيعه باستخدام مفتاح تشفير محدد من قبل الشركة المصنعة بالحصول على حق الوصول للكتابة إلى ذاكرة الفلاش المستخدمة لتخزين ما يسمى كتلة التمهيد الأوليةأو IBB.

كما يوحي الاسم ، فإن IBB هو المكان الذي يوجد فيه المكون الأول لرمز بدء التشغيل الخاص بمورد اللوحة الأم.

سيؤدي تخريبها إلى منح المهاجم السيطرة على جهاز كمبيوتر مصاب ليس فقط بمستوى أقل من أي نظام تشغيل يتم تحميله لاحقًا ، ولكن أيضًا أقل من مستوى أي أدوات مساعدة للبرامج الثابتة مثبتة في EFI الرسمية (تمديد واجهة البرامج الثابتة) قسم القرص ، من المحتمل حتى إذا كان هذا القسم محميًا بواسطة نظام التوقيع الرقمي Secure Boot الخاص بالبرنامج الثابت.

بعد أن يأتي BIOS Guard حارس التمهيد، والذي يتحقق من الكود الذي تم تحميله من IBB.

يبدو أن الفكرة هنا هي أنه على الرغم من أن BIOS Guard يجب أن يمنع أي تحديثات غير رسمية للبرامج الثابتة من الوميض في المقام الأول ، من خلال رفض الوصول للكتابة إلى أدوات تحديث البرامج الثابتة الخادعة ...

... لا يمكنها معرفة أن البرامج الثابتة الموقعة "رسميًا" من قبل بائع اللوحة الأم لا يمكن الوثوق بها بسبب تسرب مفتاح توقيع صورة البرنامج الثابت.

هذا هو المكان الذي يتدخل فيه Boot Guard ، مما يوفر مستوى ثانيًا من التصديق يهدف إلى الكشف ، في وقت التشغيل أثناء كل تمهيد ، أن النظام يقوم بتشغيل برامج ثابتة غير معتمدة للوحة الأم.

اكتب مرة واحدة تخزين المفتاح

لتعزيز مستوى التحقق من التشفير الذي يوفره كل من BIOS Guard و Boot Guard ، وربط العملية بلوحة أم معينة أو عائلة اللوحة الأم ، فإن مفاتيح التشفير التي يستخدمونها ليست مخزنة في ذاكرة فلاش قابلة لإعادة الكتابة.

تم حفظهم ، أو منفوخ، في المصطلحات ، في ذاكرة الكتابة مرة واحدة المضمنة في اللوحة الأم نفسها.

الكلمة منفوخ مشتق من حقيقة أن حلقات التخزين مبنية كسلسلة من "أسلاك التوصيل" النانوية المنفذة كصمامات كهربائية صغيرة.

يمكن ترك هذه الاتصالات سليمة ، مما يعني أنها ستقرأ على أنها ثنائيات 1 (أو 0s ، اعتمادًا على كيفية تفسيرها) ، أو "blown" - مدمجة بعبارة أخرى - في تعديل طلقة واحدة يقلبها بشكل دائم إلى 0 ثنائي (أو 1).

يتم حماية عملية حرق البتات نفسها بواسطة مصهر ، لذلك يحصل بائع اللوحة الأم على فرصة لمرة واحدة لتعيين قيمة ما يسمى الصمامات القابلة للبرمجة الميدانية.

هذا هو الخبر السار.

بمجرد كتابة مفاتيح التحقق من تشفير BIOS Guard و Boot Guard في الذاكرة القابلة للانصهار ، يتم قفلها إلى الأبد ، و لا يمكن تخريبه.

لكن الأخبار السيئة المقابلة ، بالطبع ، هي أنه إذا تم اختراق المفاتيح الخاصة التي تتوافق مع هذه المفاتيح العامة الآمنة حتى نهاية الكون ، فإن المفاتيح العامة المحترقة لا يمكن تحديثه.

وبالمثل ، فإن مفتاح OEM على مستوى تصحيح الأخطاء ، كما هو مذكور أعلاه ، يوفر لمورد اللوحة الأم طريقة للتحكم في البرامج الثابتة أثناء بدء التشغيل ، بما في ذلك مشاهدتها بالتعليمات ، وتعديل سلوكها ، والتجسس على البيانات وتعديلها إنه يحتفظ بالذاكرة ، وأكثر من ذلك بكثير.

كما يمكنك أن تتخيل ، فإن هذا النوع من الوصول إلى عملية التمهيد والتحكم فيها يهدف إلى مساعدة المطورين في الحصول على الكود الصحيح في المختبر ، قبل أن يتم حرقه في اللوحات الأم التي ستنتقل إلى العملاء.

إنتل توثيق يسرد ثلاثة مستويات التصحيح.

أخضر يشير إلى الوصول إلى تصحيح الأخطاء المسموح به لأي شخص ، والذي لا يُفترض به كشف أي أسرار منخفضة المستوى أو السماح بتعديل عملية التمهيد.

برتقال يشير إلى الوصول الكامل لتصحيح الأخطاء للقراءة والكتابة المسموح به لشخص لديه المفتاح الخاص للمورد المقابل.

أحمر يشير إلى نفس اللون البرتقالي ، ولكنه يشير إلى مفتاح خاص رئيسي ينتمي إلى Intel يمكنه فتح أي لوحة رئيسية لـ vnedor.

كما تقول إنتل بشكل واضح وصريح في وثائقها:

من المفترض أن الشركة المصنعة للنظام الأساسي لن تشارك مفتاح المصادقة [Orange Mode] مع أي مجموعة أخرى من أدوات تصحيح الأخطاء.

لسوء الحظ ، يدعي Binarly أن المحتالين قد سربوا الآن مفتاح Orange Mode الذي يمكنه تمكين تصحيح أخطاء وقت التمهيد بمستوى منخفض على 11 لوحة رئيسية مختلفة مقدمة من HP و Lenovo و Star Labs و AOPEN و CompuLab.

احذر من bootkit

لذلك يبدو أن ادعاءات Binarly تشير إلى أنه باستخدام مفتاح توقيع البرنامج الثابت ومفتاح توقيع Boot Guard ، قد لا يتمكن المهاجم فقط من خداعك أنت وأدوات تحديث البرامج الثابتة لديك لتثبيت ما يشبه تحديثًا أصليًا للبرامج النارية في المقام الأول ...

... ولكن أيضًا تكون قادرًا على خداع اللوحة الأم التي كانت مقفلة للأجهزة عبر حماية Boot Guard للسماح بتحميل البرامج الثابتة المارقة ، حتى إذا قام التحديث بتصحيح كتلة التمهيد الأولية نفسها.

وبالمثل ، فإن القدرة على تشغيل جهاز كمبيوتر مسروق في وضع تصحيح أخطاء البرامج الثابتة قد تسمح للمهاجم بتشغيل أو زرع تعليمات برمجية خادعة ، أو استخراج الأسرار ، أو التلاعب بطريقة أخرى في عملية بدء التشغيل منخفضة المستوى لترك كمبيوتر الضحية في وضع غير موثوق به وغير آمن وغير آمن ولاية.

ببساطة ، يمكنك ، من الناحية النظرية على الأقل ، أن ينتهي بك الأمر ليس فقط بامتداد الجذور الخفية، ولكن bootkit.

A الجذور الخفية، في المصطلحات ، هو رمز يتلاعب بنواة نظام التشغيل من أجل منع نظام التشغيل نفسه من اكتشاف أنواع معينة من البرامج الضارة أو الإبلاغ عنها أو منعها لاحقًا.

يمكن تنشيط بعض الجذور الخفية بعد تحميل نظام التشغيل ، عادةً عن طريق استغلال ثغرة أمنية على مستوى النواة لإجراء تغييرات داخلية غير مصرح بها على رمز نظام التشغيل نفسه.

تتجنب الجذور الخفية الأخرى الحاجة إلى وجود فجوة أمنية على مستوى النواة عن طريق تخريب جزء من تسلسل بدء التشغيل المستند إلى البرامج الثابتة ، بهدف تنشيط باب خلفي للأمان قبل بدء تحميل نظام التشغيل ، وبالتالي المساس ببعض الكود الأساسي الذي يعمل عليه التشغيل يعتمد أمن النظام الخاص.

و bootkit، بشكل فضفاض ، يأخذ هذا النهج إلى أبعد من ذلك ، بحيث يتم تحميل الباب الخلفي ذي المستوى المنخفض في وقت مبكر وبشكل غير قابل للكشف قدر الإمكان في عملية تمهيد البرنامج الثابت ، ربما حتى قبل أن يفحص الكمبيوتر أي شيء ويقرأه من القرص الصلب على الإطلاق.

يعني وجود مجموعة التمهيد عند هذا المستوى أنه حتى مسح أو استبدال القرص الثابت بأكمله (بما في ذلك ما يسمى ب قسم نظام واجهة البرامج الثابتة الموسعة، اختصار EFI أو ESP) لا يكفي لتطهير النظام.

على سبيل القياس ، يمكنك التفكير في برنامج rootkit يتم تحميله بعد نظام التشغيل على أنه يشبه إلى حد ما محاولة رشوة هيئة محلفين لتبرئة مدعى عليه مذنب في محاكمة جنائية. (خطر حدوث هذا هو أحد الأسباب التي تجعل هيئات المحلفين الجنائية تضم عادة 12 أو 15 عضوًا أو أكثر.)

إن الجذور الخفية التي يتم تحميلها في وقت متأخر من عملية البرامج الثابتة تشبه إلى حد ما محاولة رشوة المدعي العام أو كبير المحققين للقيام بعمل سيئ وترك بعض ثغرات الأدلة على الأقل للأطراف المذنبين للتخلص منها.

لكن حقيبة التمهيد تشبه إلى حد كبير حمل الهيئة التشريعية نفسها على إلغاء القانون نفسه الذي يتم بموجبه توجيه الاتهام إلى المدعى عليه ، بحيث لا يمكن المضي قدمًا في القضية ، بغض النظر عن مدى دقة جمع الأدلة وتقديمها.

ماذا ستفعلين.. إذًا؟

لا يمكن تحديث مفاتيح Boot Guard العامة ، بمجرد نسخها في اللوحة الأم ، لذا إذا تم اختراق مفاتيحها الخاصة ، فلا يمكنك فعل أي شيء لتصحيح المشكلة.

يمكن إيقاف مفاتيح توقيع البرامج الثابتة المخترقة واستبدالها ، مما يمنح أدوات تنزيل البرامج الثابتة وأدوات التحديث فرصة لتحذيرك في المستقبل بشأن البرامج الثابتة التي تم توقيعها بمفتاح غير موثوق به الآن ، ولكن هذا لا يمنع بشكل فعال استخدام مفاتيح التوقيع المسروقة .

إن فقدان مفاتيح التوقيع يشبه إلى حد ما فقدان المفتاح الرئيسي المادي لكل طابق وكل جناح في مبنى المكاتب.

في كل مرة تقوم فيها بتغيير أحد الأقفال المخترقة ، تكون قد قللت من فائدة المفتاح المسروق ، ولكن ما لم تقم بتغيير كل قفل ، فلن تحل مشكلة الأمان بشكل صحيح.

ولكن إذا قمت باستبدال كل قفل في المبنى على الفور بين عشية وضحاها ، فسوف تغلق الجميع ، لذلك لن تتمكن من السماح للمستأجرين الحقيقيين والعاملين بالاستمرار في استخدام مكاتبهم لفترة سماح يمكنهم خلالها تبديل مفاتيحهم القديمة لأشخاص جدد.

لذلك ، فإن أفضل رهان في هذه الحالة هو الالتزام بنصيحة MSI الأصلية:

[O] احصل على تحديثات البرامج الثابتة / BIOS فقط من موقع [MSI] الرسمي ، و [لا] تستخدم ملفات من مصادر أخرى غير الموقع الرسمي.

لسوء الحظ ، ربما تتلخص هذه النصيحة في خمس كلمات ليست مفيدة تمامًا وعلامة تعجب.

كن حذرا من الناس هناك!

---

التحديث. راسلتنا شركة العلاقات العامة إنتل عبر البريد الإلكتروني لتخبرنا أن الشركة "على علم بهذه التقارير ويقوم بالتحقيق بنشاط". كما طلبوا منا أن نشير إلى ذلك "يتم إنشاء مفاتيح Intel Boot Guard OEM بواسطة الشركة المصنعة للنظام ، [لذلك] هذه ليست مفاتيح توقيع Intel." اختصار OEM هو اختصار لـ مصنع المعدات الأصلية، مصطلح مربك بعض الشيء ولكنه راسخ منذ فترة طويلة والذي لا يشير إلى مورد أو موردي المكونات الفردية المضمنة في المنتج ، ولكن يشير إلى البائع الذي صنع النظام الكامل. على سبيل المثال ، عندما تشتري ما قد تشير إليه باسم "اللوحة الأم Intel" من MSI ، فإن MSI هي الشركة المصنعة للمعدات الأصلية ، بينما Intel هي مورد شريحة المعالج ، وربما مكونات أخرى لمجموعة الشرائح ، في قلب المنتج النهائي. (إذا كانت اللوحة الأم عبارة عن كبل أمان للدراجة ، فحينئذٍ تكون Intel قد صنعت القفل ، لكن المصنِّع الأصلي للجهاز قد يلحم الكابل ويغطي المنتج بطبقة واقية ، ويختار الأرقام للمجموعة.) [2023-05 -09T22: 45Z]

---

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
• سك المستقبل مع أدرين أشلي. الوصول هنا.
• شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
• المصدر https://nakedsecurity.sophos.com/2023/05/09/low-level-motherboard-security-keys-leaked-in-msi-breach-claim-researchers/