Les clés de sécurité de bas niveau de la carte mère ont été divulguées lors d'une violation de MSI, selon des chercheurs

Il y a environ un mois, nous avons écrit à propos d'un notification de violation de données émis par le principal fabricant de cartes mères MSI.

La compagnie a déclaré:

MSI a récemment subi une cyberattaque sur une partie de ses systèmes d'information. […] Actuellement, les systèmes concernés ont progressivement repris leurs activités normales, sans impact significatif sur les activités financières. […] MSI exhorte les utilisateurs à obtenir les mises à jour du micrologiciel/BIOS uniquement à partir de son site Web officiel et à ne pas utiliser de fichiers provenant de sources autres que le site Web officiel.

Le mea culpa de la société est survenu deux jours après qu'un gang de cyberextorsion du nom de Money Message a affirmé avoir volé le code source MSI, les outils de développement du BIOS et les clés privées.

À l'époque, les criminels étaient encore en mode compte à rebours et affirmaient qu'ils "publier les données volées à l'expiration du délai":

Horloge arrêtée

La "minuterie de révélation" dans la capture d'écran ci-dessus a expiré le 2023-04-07, il y a un peu plus d'un mois, mais le site Money Message sur le dark web est par ailleurs inchangé depuis la publication initiale du gang :

Néanmoins, les chercheurs de la société de recherche sur les vulnérabilités Binarly affirment non seulement avoir mis la main sur les données volées lors de la violation, mais aussi y avoir recherché des clés cryptographiques intégrées et avoir trouvé de nombreux résultats.

Jusqu'à présent, Binarly revendique sur Github ainsi que Twitter avoir extrait de nombreuses clés de signature des données en sa possession, y compris ce qu'il décrit [2023-05-09T14:00Z] comme :

• 1 clé OEM Intel. Apparemment, cette clé peut être utilisée pour contrôler le débogage du firmware sur 11 cartes mères différentes.
• 27 clés de signature d'image. Binarly affirme que ces clés peuvent être utilisées pour signer les mises à jour du firmware pour 57 cartes mères MSI différentes.
• 4 clés Intel Boot Guard. Ces clés divulguées contrôlent apparemment la vérification à l'exécution du code du micrologiciel pour 116 cartes mères MSI différentes.

Protection matérielle du BIOS

D'après Intel propre documentation, les cartes mères Intel modernes peuvent être protégées par plusieurs couches de sécurité cryptographique.

D'abord vient Garde du BIOS, qui autorise uniquement le code signé avec une clé de chiffrement spécifiée par le fabricant à obtenir un accès en écriture à la mémoire flash utilisée pour stocker ce que l'on appelle Bloc de démarrage initial, ou IBB.

Comme son nom l'indique, l'IBB est l'endroit où se trouve le premier composant du code de démarrage du fournisseur de la carte mère.

Le subvertir donnerait à un attaquant le contrôle d'un ordinateur infecté non seulement à un niveau inférieur à tout système d'exploitation qui se charge plus tard, mais également en dessous du niveau de tout utilitaire de micrologiciel installé dans l'EFI officiel (interface de micrologiciel étendue) partition de disque, potentiellement même si cette partition est protégée par le propre système de signature numérique Secure Boot du micrologiciel.

Après l'arrivée de BIOS Guard Garde de botte, qui vérifie le code chargé à partir de l'IBB.

L'idée ici semble être que bien que BIOS Guard devrait empêcher toute mise à jour non officielle du micrologiciel d'être flashée en premier lieu, en refusant l'accès en écriture aux outils de mise à jour du micrologiciel malveillant…

… il ne peut pas dire que le micrologiciel "officiellement" signé par le fournisseur de la carte mère n'est pas digne de confiance en raison d'une fuite de clé de signature d'image du micrologiciel.

C'est là que Boot Guard intervient, fournissant un deuxième niveau d'attestation qui vise à détecter, au moment de l'exécution lors de chaque démarrage, que le système exécute un micrologiciel qui n'est pas approuvé pour votre carte mère.

Stockage de clé à écriture unique

Pour renforcer le niveau de vérification cryptographique fourni par BIOS Guard et Boot Guard, et pour lier le processus à une carte mère ou à une famille de cartes mères spécifiques, les clés cryptographiques qu'ils utilisent ne sont pas elles-mêmes stockées dans une mémoire flash réinscriptible.

Ils sont sauvés, ou soufflé, dans le jargon, dans la mémoire à écriture unique intégrée à la carte mère elle-même.

Le mot soufflé découle du fait que le circuit de stockage est construit comme une série de "fils de connexion" nanoscopiques mis en œuvre comme de minuscules fusibles électriques.

Ces connexions peuvent être laissées intactes, ce qui signifie qu'elles seront lues comme des 1 binaires (ou des 0, selon la façon dont elles sont interprétées), ou "soufflées" - fusionnées en d'autres termes - dans une modification unique qui les renverse de façon permanente en 0 (ou 1) binaires.

Le déclenchement du processus de gravure de bits est lui-même protégé par un fusible, de sorte que le fournisseur de la carte mère a une chance unique de définir la valeur de ces soi-disant Fusibles programmables sur site.

Voilà les bonnes nouvelles.

Une fois que les clés de vérification cryptographique BIOS Guard et Boot Guard sont écrites dans la mémoire fusible, elles sont verrouillées pour toujours, et ne peut jamais être renversé.

Mais la mauvaise nouvelle correspondante, bien sûr, est que si les clés privées qui correspondent à ces clés publiques sûres jusqu'à la fin de l'univers sont compromises, les clés publiques gravées ne peut jamais être mis à jour.

De même, une clé OEM de niveau débogage, comme mentionné ci-dessus, fournit à un fournisseur de carte mère un moyen de prendre le contrôle du micrologiciel lors de son démarrage, notamment en le regardant instruction par instruction, en ajustant son comportement, en espionnant et en modifiant les données. il tient en mémoire, et bien plus encore.

Comme vous pouvez l'imaginer, ce type d'accès et de contrôle sur le processus de démarrage est destiné à aider les développeurs à obtenir le code directement dans le laboratoire, avant qu'il ne soit gravé sur les cartes mères qui iront aux clients.

Intel's Documentation répertorie trois niveaux de débogage.

Vert indique un accès de débogage autorisé à tout le monde, qui n'est pas censé exposer de secrets de bas niveau ou permettre la modification du processus de démarrage.

Orange indique un accès de débogage complet en lecture-écriture autorisé à quelqu'un qui possède la clé privée du fournisseur correspondant.

Rouge désigne la même chose que l'orange, mais fait référence à une clé privée principale appartenant à Intel qui peut déverrouiller la carte mère de n'importe quel vnedor.

Comme Intel l'indique de manière assez évidente et sans ambages dans sa documentation :

Il est supposé que le fabricant de la plate-forme ne partagera pas sa clé d'authentification [mode orange] avec un autre ensemble de débogueurs.

Malheureusement, Binarly affirme que les escrocs ont maintenant divulgué une clé en mode orange qui peut permettre un débogage de bas niveau au démarrage sur 11 cartes mères différentes fournies par HP, Lenovo, Star Labs, AOPEN et CompuLab.

Attention au bootkit

Les affirmations de Binarly semblent donc suggérer qu'avec une clé de signature de micrologiciel et une clé de signature Boot Guard, un attaquant pourrait non seulement être en mesure de vous tromper, vous et vos outils de mise à jour de micrologiciel, en installant ce qui ressemble à une véritable mise à jour de micrologiciel en premier lieu…

… mais aussi être capable de tromper une carte mère qui a été verrouillée matériellement via la protection Boot Guard en permettant à ce micrologiciel malveillant de se charger, même si la mise à jour corrige le bloc de démarrage initial lui-même.

De même, être capable de démarrer un ordinateur volé en mode de débogage du micrologiciel pourrait permettre à un attaquant d'exécuter ou d'implanter un code malveillant, d'extraire des secrets ou de manipuler le processus de démarrage de bas niveau pour laisser l'ordinateur d'une victime dans un environnement non fiable, dangereux et non sécurisé. État.

Autrement dit, vous pourriez, en théorie du moins, vous retrouver non seulement avec un rootkit, Mais kit de démarrage.

A rootkit, dans le jargon, est un code qui manipule le noyau du système d'exploitation afin d'empêcher même le système d'exploitation lui-même de détecter, de signaler ou d'empêcher ultérieurement certains types de logiciels malveillants.

Certains rootkits peuvent être activés après le chargement du système d'exploitation, généralement en exploitant une vulnérabilité au niveau du noyau pour apporter des modifications internes non autorisées au code du système d'exploitation lui-même.

D'autres rootkits contournent le besoin d'un trou de sécurité au niveau du noyau en subvertissant une partie de la séquence de démarrage basée sur le micrologiciel, visant à activer une porte dérobée de sécurité avant que le système d'exploitation ne commence à se charger, compromettant ainsi une partie du code sous-jacent sur lequel le fonctionnement repose sur la propre sécurité du système.

Et un kit de démarrage, en gros, pousse cette approche encore plus loin, de sorte que la porte dérobée de bas niveau soit chargée le plus tôt et de la manière la plus indétectable possible dans le processus d'amorçage du micrologiciel, peut-être même avant que l'ordinateur n'examine et ne lise quoi que ce soit sur le disque dur.

Un bootkit à ce niveau signifie que même essuyer ou remplacer tout votre disque dur (y compris le soi-disant Partition système de l'interface étendue du micrologiciel, abrégé EFI ou ESP) n'est pas suffisant pour désinfecter le système.

Par analogie, vous pourriez penser à un rootkit qui se charge après le système d'exploitation comme étant un peu comme essayer de soudoyer un jury pour acquitter un accusé coupable dans un procès pénal. (Le risque que cela se produise est l'une des raisons pour lesquelles les jurys criminels comptent généralement 12, 15 membres ou plus.)

Un rootkit qui se charge tard dans le processus du micrologiciel, c'est un peu comme essayer de soudoyer le procureur ou l'enquêteur en chef pour qu'il fasse un mauvais travail et laisse au moins quelques failles de preuve pour que les coupables puissent se faufiler.

Mais un bootkit revient plus à demander au législateur lui-même d'abroger la loi même en vertu de laquelle le défendeur est accusé, de sorte que l'affaire, quel que soit le soin avec lequel les preuves ont été recueillies et présentées, ne peut pas du tout avancer.

Que faire?

Les clés publiques de Boot Guard, une fois gravées sur votre carte mère, ne peuvent pas être mises à jour, donc si leurs clés privées correspondantes sont compromises, vous ne pouvez rien faire pour corriger le problème.

Les clés de signature de micrologiciel compromises peuvent être retirées et remplacées, ce qui donne aux téléchargeurs de micrologiciel et aux outils de mise à jour une chance de vous avertir à l'avenir du micrologiciel qui a été signé avec une clé désormais non fiable, mais cela n'empêche pas activement l'utilisation des clés de signature volées. .

Perdre les clés de signature, c'est un peu comme perdre la clé principale physique de chaque étage et de chaque suite d'un immeuble de bureaux.

Chaque fois que vous changez l'une des serrures compromises, vous réduisez l'utilité de la clé volée, mais à moins et jusqu'à ce que vous ayez changé chaque serrure, vous n'avez pas correctement résolu votre problème de sécurité.

Mais si vous remplacez immédiatement chaque serrure de l'immeuble du jour au lendemain, vous verrouillerez tout le monde, vous ne pourrez donc pas laisser les véritables locataires et travailleurs continuer à utiliser leurs bureaux pendant une période de grâce au cours de laquelle ils pourront échanger leurs anciennes clés. pour les nouveaux.

Votre meilleur pari dans ce cas est donc de vous en tenir étroitement aux conseils originaux de MSI :

[O]btenez les mises à jour du micrologiciel/BIOS uniquement à partir du site Web officiel de [MSI] et [n'utilisez pas] de fichiers provenant de sources autres que le site Web officiel.

Malheureusement, ce conseil se résume probablement à cinq mots pas entièrement utiles et à un point d'exclamation.

Soyez prudent là-bas, les gens!

---

Update. La société de relations publiques d'Intel nous a envoyé un e-mail pour nous dire que la société "est au courant de ces rapports et enquête activement." Ils nous ont également demandé de souligner que "Les clés OEM Intel Boot Guard sont générées par le fabricant du système, [donc] ce ne sont pas des clés de signature Intel." L'abréviation OEM est l'abréviation de fabricant d'équipement d'origine, un terme légèrement déroutant mais établi de longue date qui ne fait pas référence au fournisseur ou aux fournisseurs des composants individuels intégrés dans un produit, mais au fournisseur qui a fabriqué le système complet. Par exemple, lorsque vous achetez ce que vous pourriez appeler une "carte mère Intel" de MSI, MSI est l'OEM, tandis qu'Intel est le fournisseur de la puce du processeur, et peut-être d'autres composants du chipset, au cœur du produit fini. (Si votre carte mère était un câble de sécurité pour vélo, Intel aurait fabriqué le verrou, mais l'OEM aurait soudé le câble, recouvert le produit de son revêtement protecteur et choisi les chiffres de la combinaison.) [2023-05 -09T22:45Z]

---

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
• Frapper l'avenir avec Adryenn Ashley. Accéder ici.
• Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
• La source: https://nakedsecurity.sophos.com/2023/05/09/low-level-motherboard-security-keys-leaked-in-msi-breach-claim-researchers/