Forscher behaupten, dass Low-Level-Motherboard-Sicherheitsschlüssel bei einer MSI-Verletzung durchgesickert sind

Forscher behaupten, dass Low-Level-Motherboard-Sicherheitsschlüssel bei einer MSI-Verletzung durchgesickert sind

Zeitstempel: 9. Mai 2023 2:58 Uhr
Quellknoten: 2641177
by

Vor etwa einem Monat haben wir über a geschrieben Benachrichtigung über Datenverletzungen Herausgegeben vom großen Motherboard-Hersteller MSI.

Das Unternehmen sagte:

MSI erlitt kürzlich einen Cyberangriff auf einen Teil seiner Informationssysteme. […] Derzeit haben die betroffenen Systeme schrittweise den Normalbetrieb wieder aufgenommen, ohne nennenswerte Auswirkungen auf das Finanzgeschäft. […] MSI fordert Benutzer dringend auf, Firmware-/BIOS-Updates nur von seiner offiziellen Website zu beziehen und keine Dateien von anderen Quellen als der offiziellen Website zu verwenden.

Die Schuld des Unternehmens kam zwei Tage, nachdem eine Cyber-Erpressungsbande namens Money Message behauptet hatte, MSI-Quellcode, BIOS-Entwicklungstools und private Schlüssel gestohlen zu haben.

Zu diesem Zeitpunkt befanden sich die Kriminellen noch im Countdown-Modus und behaupteten, sie würden es tun „Gestohlene Daten veröffentlichen, wenn der Timer abläuft“:

Screenshot drei Stunden vor Ablauf des Verstoß-Timers [2023].

Die Uhr blieb stehen

Der „Enthüllungs-Timer“ im Screenshot oben ist am 2023, also vor etwas mehr als einem Monat, abgelaufen, aber die Money Message-Seite im Dark Web ist ansonsten seit dem ersten Post der Bande unverändert:

Einen Monat später [2023].

Dennoch behaupten Forscher des Schwachstellenforschungsunternehmens Binarly, dass sie nicht nur an die bei der Sicherheitsverletzung gestohlenen Daten gelangt sind, sondern diese auch nach eingebetteten Kryptowährungsschlüsseln durchsucht haben und dabei auf zahlreiche Treffer gestoßen sind.

Bisher behauptet Binarly weiter Github und Twitter zahlreiche Signaturschlüssel aus den in seinem Besitz befindlichen Daten extrahiert zu haben, einschließlich dessen, was es beschreibt [2023-05-09T14:00Z] als:

  • 1 Intel OEM-Schlüssel. Anscheinend kann dieser Schlüssel verwendet werden, um das Firmware-Debugging auf 11 verschiedenen Motherboards zu steuern.
  • 27 Bildsignaturschlüssel. Binarly behauptet, dass diese Schlüssel zum Signieren von Firmware-Updates für 57 verschiedene MSI-Motherboards verwendet werden können.
  • 4 Intel Boot Guard-Schlüssel. Diese durchgesickerten Schlüssel steuern offenbar die Laufzeitüberprüfung des Firmware-Codes für 116 verschiedene MSI-Motherboards.

Hardwarebasierter BIOS-Schutz

Laut Intels eigene DokumentationModerne Intel-basierte Motherboards können durch mehrere Schichten kryptografischer Sicherheit geschützt werden.

Zuerst kommt BIOS-Guard, wodurch nur Code, der mit einem vom Hersteller angegebenen kryptografischen Schlüssel signiert ist, Schreibzugriff auf den Flash-Speicher erhält, der zum Speichern sogenannter Erster Startblock, oder IBB.

Wie der Name schon sagt, befindet sich im IBB die erste Komponente des Startup-Codes des Motherboard-Herstellers.

Eine Umgehung würde einem Angreifer die Kontrolle über einen infizierten Computer nicht nur auf einer Ebene unterhalb eines Betriebssystems geben, das später geladen wird, sondern auch unterhalb der Ebene aller Firmware-Dienstprogramme, die im offiziellen EFI installiert sind (erweiterte Firmware-Schnittstelle) Festplattenpartition, möglicherweise auch dann, wenn diese Partition durch das firmeneigene digitale Signatursystem „Secure Boot“ geschützt ist.

Nach dem BIOS Guard kommt Stiefelschutz, die den vom IBB geladenen Code überprüft.

Die Idee hier scheint zu sein, dass BIOS Guard zwar verhindern sollte, dass inoffizielle Firmware-Updates überhaupt geflasht werden, indem er betrügerischen Firmware-Update-Tools den Schreibzugriff verweigert …

…Es kann nicht gesagt werden, dass die vom Motherboard-Hersteller „offiziell“ signierte Firmware aufgrund eines durchgesickerten Signaturschlüssels für das Firmware-Image nicht vertrauenswürdig ist.

Hier greift Boot Guard ein und bietet eine zweite Nachweisebene, die darauf abzielt, zur Laufzeit bei jedem Start zu erkennen, dass auf dem System Firmware ausgeführt wird, die nicht für Ihr Motherboard zugelassen ist.

Einmal beschreibbarer Schlüsselspeicher

Um den Grad der kryptografischen Überprüfung durch BIOS Guard und Boot Guard zu verstärken und den Prozess an ein bestimmtes Motherboard oder eine bestimmte Motherboard-Familie zu binden, werden die von ihnen verwendeten kryptografischen Schlüssel selbst nicht im wiederbeschreibbaren Flash-Speicher gespeichert.

Sie sind gerettet, bzw geblasen, im Fachjargon, in einen einmal beschreibbaren Speicher, der auf dem Motherboard selbst eingebettet ist.

Das Wort geblasen beruht auf der Tatsache, dass die Speicherschaltung aus einer Reihe nanoskopischer „Verbindungsdrähte“ besteht, die als winzige elektrische Sicherungen implementiert sind.

Diese Verbindungen können intakt bleiben, was bedeutet, dass sie als binäre Einsen (oder Nullen, je nachdem, wie sie interpretiert werden) ausgegeben werden oder in einer einmaligen Modifikation „durchgebrannt“ – also verschmolzen – werden, die sie dauerhaft umdreht in binäre Nullen (oder Einsen) umwandeln.

Das Auslösen des Bit-Burning-Prozesses ist selbst durch eine Sicherung geschützt, sodass der Motherboard-Hersteller eine einmalige Gelegenheit erhält, den Wert dieser sogenannten Sicherungen festzulegen Vor Ort programmierbare Sicherungen.

Das sind die guten Nachrichten.

Sobald die kryptografischen Verifizierungsschlüssel von BIOS Guard und Boot Guard in den schmelzbaren Speicher geschrieben wurden, sind sie für immer gesperrt kann niemals untergraben werden.

Aber die entsprechende schlechte Nachricht ist natürlich, dass, wenn die privaten Schlüssel, die diesen bis zum Ende des Universums sicheren öffentlichen Schlüsseln entsprechen, jemals kompromittiert werden, die eingebrannten öffentlichen Schlüssel kann nie aktualisiert werden.

In ähnlicher Weise bietet ein OEM-Schlüssel auf Debug-Ebene, wie oben erwähnt, einem Motherboard-Anbieter die Möglichkeit, die Kontrolle über die Firmware beim Hochfahren zu übernehmen, einschließlich der Anweisung für Anweisung zu beobachten, ihr Verhalten zu optimieren, die Daten auszuspionieren und zu ändern es hält die Erinnerung fest und vieles mehr.

Wie Sie sich vorstellen können, soll diese Art des Zugriffs auf und die Kontrolle über den Startvorgang den Entwicklern helfen, den Code direkt im Labor zu erstellen, bevor er in Motherboards eingebrannt wird, die an Kunden gehen.

Intels Dokumentation listet drei Debugging-Ebenen auf.

Grün bezeichnet einen Debug-Zugriff, der jedem gestattet ist und keine Geheimnisse auf niedriger Ebene preisgeben oder eine Änderung des Startvorgangs ermöglichen soll.

Orange bezeichnet vollständigen Lese-/Schreib-Debugging-Zugriff, der jemandem gewährt wird, der über den privaten Schlüssel des entsprechenden Anbieters verfügt.

Rot bezeichnet dasselbe wie Orange, bezieht sich jedoch auf einen privaten Hauptschlüssel von Intel, der das Motherboard jedes Anbieters entsperren kann.

Wie Intel in seiner Dokumentation ziemlich offensichtlich und unverblümt feststellt:

Es wird davon ausgegangen, dass der Plattformhersteller seinen [Orange Mode]-Authentifizierungsschlüssel nicht mit anderen Debuggern teilt.

Bedauerlicherweise behauptet Binarly, dass die Kriminellen nun einen Orange Mode-Schlüssel durchgesickert haben, der das Low-Level-Boot-Time-Debugging auf 11 verschiedenen Motherboards von HP, Lenovo, Star Labs, AOPEN und CompuLab ermöglichen kann.

Vorsicht vor dem Bootkit

Binarlys Behauptungen scheinen daher darauf hinzudeuten, dass ein Angreifer mit einem Firmware-Signaturschlüssel und einem Boot Guard-Signaturschlüssel nicht nur in der Lage sein könnte, Sie und Ihre Firmware-Aktualisierungstools dazu zu verleiten, überhaupt etwas zu installieren, das wie ein echtes Firmware-Update aussieht …

…aber auch in der Lage sein, ein Motherboard, das über den Boot Guard-Schutz hardwaremäßig gesperrt wurde, dazu zu bringen, das Laden dieser betrügerischen Firmware zuzulassen, selbst wenn das Update den Initial Boot Block selbst patcht.

Ebenso könnte die Möglichkeit, einen gestohlenen Computer im Firmware-Debugging-Modus hochzufahren, es einem Angreifer ermöglichen, betrügerischen Code auszuführen oder einzuschleusen, Geheimnisse zu extrahieren oder den Startvorgang auf niedriger Ebene auf andere Weise zu manipulieren, um den Computer eines Opfers in einem nicht vertrauenswürdigen, unsicheren und unsicheren Zustand zu hinterlassen Zustand.

Einfach ausgedrückt: Sie könnten, zumindest theoretisch, nicht nur mit einem enden Rootkit, Aber a Bootkit.

A RootkitIm Fachjargon handelt es sich um Code, der den Kernel des Betriebssystems manipuliert, um zu verhindern, dass später sogar das Betriebssystem selbst bestimmte Arten von Malware erkennt, meldet oder verhindert.

Einige Rootkits können nach dem Laden des Betriebssystems aktiviert werden, typischerweise durch Ausnutzung einer Schwachstelle auf Kernel-Ebene, um unbefugte interne Änderungen am Betriebssystemcode selbst vorzunehmen.

Andere Rootkits umgehen die Notwendigkeit einer Sicherheitslücke auf Kernel-Ebene, indem sie einen Teil der Firmware-basierten Startsequenz untergraben. Ziel ist es, eine Sicherheits-Hintertür zu aktivieren, bevor das Betriebssystem mit dem Laden beginnt, und so einen Teil des zugrunde liegenden Codes zu gefährden, auf dem das Betriebssystem ausgeführt wird systemeigene Sicherheit beruht.

Und ein BootkitGrob gesagt geht dieser Ansatz sogar noch weiter, so dass die Low-Level-Hintertür so früh und so unentdeckt wie möglich im Firmware-Bootstrap-Prozess geladen wird, vielleicht sogar bevor der Computer überhaupt etwas von der Festplatte untersucht und liest.

Ein Bootkit-Down auf dieser Ebene bedeutet, dass sogar das Löschen oder Ersetzen Ihrer gesamten Festplatte (einschließlich der sogenannten Erweiterte Firmware-Schnittstellensystempartition, abgekürzt EFI oder ESP) reicht nicht aus, um das System zu desinfizieren.

Typisches Mac-Festplatten-Setup.
Die EFI-Partition ist entsprechend gekennzeichnet.
Typisches Festplatten-Setup für Windows 11.
Typ c12a7...ec93b bezeichnet eine EFI-Partition.

Als Analogie könnte man sich ein Rootkit vorstellen, das nach dem Betriebssystem geladen wird, als würde man versuchen, eine Jury zu bestechen, um einen schuldigen Angeklagten in einem Strafprozess freizusprechen. (Das Risiko, dass dies passiert, ist einer der Gründe, warum kriminelle Geschworenengerichte normalerweise 12, 15 oder mehr Mitglieder haben.)

Ein Rootkit, das spät im Firmware-Prozess geladen wird, gleicht in etwa dem Versuch, den Staatsanwalt oder den Chefermittler zu bestechen, damit dieser schlechte Arbeit leistet und zumindest einige Beweislücken hinterlässt, durch die sich die Schuldigen schlängeln können.

Aber ein Bootkit ist eher so, als würde man den Gesetzgeber selbst dazu bringen, genau das Gesetz aufzuheben, nach dem der Angeklagte angeklagt wird, so dass der Fall, egal wie sorgfältig die Beweise gesammelt und vorgelegt wurden, überhaupt nicht weitergeführt werden kann.

Was ist zu tun?

Sobald die öffentlichen Boot Guard-Schlüssel in Ihr Motherboard eingebrannt sind, können sie nicht mehr aktualisiert werden. Wenn also die entsprechenden privaten Schlüssel kompromittiert werden, können Sie nichts tun, um das Problem zu beheben.

Kompromittierte Firmware-Signaturschlüssel können außer Dienst gestellt und ersetzt werden, was Firmware-Downloadern und Aktualisierungstools die Möglichkeit gibt, Sie in Zukunft vor Firmware zu warnen, die mit einem jetzt nicht vertrauenswürdigen Schlüssel signiert wurde. Dies verhindert jedoch nicht aktiv, dass die gestohlenen Signaturschlüssel verwendet werden .

Der Verlust der Signierschlüssel ähnelt dem Verlust des physischen Hauptschlüssels für jede Etage und jede Suite in einem Bürogebäude.

Jedes Mal, wenn Sie eines der gefährdeten Schlösser austauschen, verringert sich die Nützlichkeit des gestohlenen Schlüssels, aber solange Sie nicht jedes einzelne Schloss ausgetauscht haben, haben Sie Ihr Sicherheitsproblem nicht richtig gelöst.

Wenn Sie jedoch über Nacht sofort jedes einzelne Schloss im Gebäude austauschen, schließen Sie alle aus und können so nicht zulassen, dass echte Mieter und Arbeiter ihre Büros für eine Übergangsfrist, in der sie ihre alten Schlüssel austauschen können, weiterhin nutzen können für Neue.

In diesem Fall ist es daher am besten, sich genau an den ursprünglichen Rat von MSI zu halten:

[Beziehen] Sie Firmware-/BIOS-Updates nur von der offiziellen Website von [MSI] und verwenden Sie [keine] Dateien aus anderen Quellen als der offiziellen Website.

Leider läuft dieser Rat wahrscheinlich auf fünf nicht ganz hilfreiche Wörter und ein Ausrufezeichen hinaus.

Seien Sie vorsichtig da draußen, Leute!

Aktualisieren. Die PR-Firma von Intel schickte uns eine E-Mail, um uns mitzuteilen, dass das Unternehmen „ist sich dieser Berichte bewusst und untersucht aktiv.“ Sie haben uns auch gebeten, darauf hinzuweisen „Intel Boot Guard OEM-Schlüssel werden vom Systemhersteller generiert, es handelt sich also nicht um Intel-Signaturschlüssel.“ Die Abkürzung OEM steht für Erstausrüster, ein etwas verwirrender, aber seit langem etablierter Begriff, der sich nicht auf den oder die Lieferanten der einzelnen in ein Produkt eingebauten Komponenten bezieht, sondern auf den Anbieter, der das komplette System hergestellt hat. Wenn Sie beispielsweise ein sogenanntes „Intel-Motherboard“ von MSI kaufen, ist MSI der OEM, während Intel der Lieferant des Prozessorchips und möglicherweise anderer Chipsatzkomponenten ist, die das Herzstück des fertigen Produkts bilden. (Wenn Ihr Motherboard ein Fahrradsicherheitskabel wäre, hätte Intel das Schloss hergestellt, aber der OEM hätte das Kabel verschweißt, das Produkt mit seiner Schutzschicht überzogen und die Zahlen für die Kombination ausgewählt.) [2023-05 -09T22:45Z]

Zeitstempel:

Mehr von Nackte Sicherheit