Kunci keamanan motherboard tingkat rendah bocor dalam pelanggaran MSI, klaim peneliti

Sekitar sebulan yang lalu, kami menulis tentang a pemberitahuan pelanggaran data dikeluarkan oleh produsen motherboard utama MSI.

Perusahaan mengatakan:

MSI baru-baru ini mengalami serangan siber pada sebagian sistem informasinya. […] Saat ini, sistem yang terkena dampak secara bertahap kembali beroperasi normal, tanpa dampak signifikan pada bisnis keuangan. […] MSI mengimbau pengguna untuk mendapatkan pembaruan firmware/BIOS hanya dari situs resminya, dan tidak menggunakan file dari sumber selain situs resmi.

Mea culpa perusahaan datang dua hari setelah geng cyberextortion dengan nama Money Message mengklaim telah mencuri kode sumber MSI, alat pengembangan BIOS, dan kunci pribadi.

Saat itu, para penjahat masih dalam mode hitung mundur, dan mengklaim akan melakukannya "publikasikan data yang dicuri saat penghitung waktu berakhir":

Jam berhenti

"Reveal timer" pada tangkapan layar di atas berakhir pada 2023-04-07, lebih dari sebulan yang lalu, tetapi situs Pesan Uang di web gelap sebaliknya tidak berubah sejak posting awal geng:

Namun demikian, para peneliti di perusahaan riset kerentanan Binarly mengklaim tidak hanya telah mendapatkan data yang dicuri dalam pelanggaran tersebut, tetapi juga telah mencari melalui kunci crpyotgraphic yang disematkan dan menghasilkan banyak hit.

Sejauh ini, Binarly mengklaim Github dan Twitter telah mengekstrak banyak kunci penandatanganan dari data yang dimilikinya, termasuk yang dijelaskannya [2023-05-09T14:00Z] sebagai:

• 1 kunci Intel OEM. Rupanya, kunci ini dapat digunakan untuk mengontrol debugging firmware pada 11 motherboard berbeda.
• 27 kunci penandatanganan gambar. Secara biner mengklaim bahwa kunci ini dapat digunakan untuk menandatangani pembaruan firmware untuk 57 motherboard MSI yang berbeda.
• 4 kunci Intel Boot Guard. Kunci yang bocor ini tampaknya mengontrol verifikasi run-time dari kode firmware untuk 116 motherboard MSI yang berbeda.

Perlindungan BIOS berbasis perangkat keras

Menurut Intel dokumentasi sendiri, motherboard berbasis Intel modern dapat dilindungi oleh keamanan kriptografik berlapis-lapis.

Pertama datang Penjaga BIOS, yang hanya mengizinkan kode yang ditandatangani dengan kunci kriptografi yang ditentukan pabrikan untuk mendapatkan akses tulis ke memori flash yang digunakan untuk menyimpan apa yang disebut Blok Boot Awal, atau IBB.

Seperti namanya, IBB adalah tempat tinggal komponen pertama dari kode startup vendor motherboard.

Menumbangkannya akan memberi penyerang kendali atas komputer yang terinfeksi tidak hanya pada level di bawah sistem operasi apa pun yang kemudian dimuat, tetapi juga di bawah level utilitas firmware apa pun yang dipasang di EFI resmi (antarmuka firmware yang diperluas) partisi disk, bahkan jika partisi tersebut dilindungi oleh sistem tanda tangan digital Boot Aman firmware sendiri.

Setelah BIOS Guard datang Penjaga Boot, yang memverifikasi kode yang dimuat dari IBB.

Idenya di sini tampaknya adalah bahwa meskipun BIOS Guard harus mencegah pembaruan firmware tidak resmi di-flash sejak awal, dengan menolak akses tulis ke alat pemutakhiran firmware jahat…

… tidak dapat mengatakan bahwa firmware "resmi" yang ditandatangani oleh vendor motherboard tidak dapat dipercaya karena kunci penandatanganan gambar firmware yang bocor.

Di situlah Boot Guard masuk, memberikan pengesahan tingkat kedua yang bertujuan untuk mendeteksi, pada saat run-time selama setiap bootup, bahwa sistem menjalankan firmware yang tidak disetujui untuk motherboard Anda.

Penyimpanan kunci sekali tulis

Untuk memperkuat tingkat verifikasi kriptografi yang disediakan oleh BIOS Guard dan Boot Guard, dan untuk mengikat proses ke motherboard atau rangkaian motherboard tertentu, kunci kriptografi yang mereka gunakan tidak disimpan sendiri dalam memori flash yang dapat ditulis ulang.

Mereka diselamatkan, atau sesak nafas, dalam jargon, menjadi memori sekali tulis yang tertanam di motherboard itu sendiri.

kata sesak nafas berasal dari fakta bahwa sirkuit penyimpanan dibangun sebagai rangkaian "kabel penghubung" nanoscopic yang diimplementasikan sebagai sekering listrik kecil.

Koneksi tersebut dapat dibiarkan utuh, yang berarti mereka akan dibaca sebagai biner 1s (atau 0s, tergantung pada bagaimana mereka ditafsirkan), atau "blown" - menyatu dengan kata lain - dalam modifikasi satu tembakan yang membalikkannya secara permanen menjadi biner 0s (atau 1s).

Memicu proses pembakaran bit itu sendiri dilindungi oleh sekering, sehingga vendor motherboard mendapat kesempatan satu kali untuk menetapkan nilai yang disebut ini Sekring yang Dapat Diprogram di Lapangan.

Itu kabar baiknya.

Setelah kunci verifikasi kriptografi BIOS Guard dan Boot Guard ditulis ke memori fusible, mereka akan terkunci selamanya, dan tidak pernah bisa ditumbangkan.

Tetapi berita buruk yang terkait, tentu saja, adalah bahwa jika kunci pribadi yang sesuai dengan kunci publik yang aman sampai akhir alam semesta ini pernah dikompromikan, kunci publik yang dibakar tidak pernah bisa diperbarui.

Demikian pula, kunci OEM tingkat debug, seperti yang disebutkan di atas, memberi vendor motherboard cara untuk mengambil kendali atas firmware saat boot, termasuk menontonnya instruksi demi instruksi, mengutak-atik perilakunya, memata-matai, dan memodifikasi data itu disimpan dalam memori, dan banyak lagi.

Seperti yang dapat Anda bayangkan, akses ke, dan kontrol atas, proses bootup semacam ini dimaksudkan untuk membantu pengembang mendapatkan kode yang benar di lab, sebelum dimasukkan ke dalam motherboard yang akan diberikan kepada pelanggan.

Intel dokumentasi daftar tiga tingkat debugging.

Hijau menunjukkan akses debug yang diizinkan untuk siapa saja, yang tidak seharusnya mengungkapkan rahasia tingkat rendah apa pun atau mengizinkan proses boot untuk dimodifikasi.

Jeruk menunjukkan akses debugging penuh, baca-tulis yang diizinkan untuk seseorang yang memiliki kunci pribadi vendor yang sesuai.

Merah menunjukkan sama dengan oranye, tetapi mengacu pada kunci pribadi master milik Intel yang dapat membuka kunci motherboard vnedor mana pun.

Seperti yang dinyatakan Intel dengan jelas, dan blak-blakan, dalam dokumentasinya:

Diasumsikan bahwa Produsen Platform tidak akan membagikan kunci autentikasi [Mode Oranye] mereka dengan set debugger lainnya.

Sayangnya, Binarly mengklaim para penjahat sekarang telah membocorkan kunci Mode Oranye yang dapat mengaktifkan debugging waktu boot tingkat rendah pada 11 motherboard berbeda yang disediakan oleh HP, Lenovo, Star Labs, AOPEN dan CompuLab.

Waspadalah terhadap bootkit

Oleh karena itu, klaim Binarly tampaknya menyarankan bahwa dengan kunci penandatanganan firmware dan kunci penandatanganan Boot Guard, penyerang mungkin tidak hanya dapat mengelabui Anda dan alat pemutakhiran firmware Anda untuk menginstal apa yang tampak seperti pembaruan firware asli di tempat pertama…

… tetapi juga dapat mengelabui motherboard yang telah dikunci perangkat kerasnya melalui perlindungan Boot Guard untuk mengizinkan firmware nakal tersebut memuat, bahkan jika pembaruan menambal Blok Boot Awal itu sendiri.

Demikian juga, dapat mem-boot komputer curian dalam mode debugging firmware dapat memungkinkan penyerang untuk menjalankan atau menanamkan kode nakal, mengekstrak rahasia, atau memanipulasi proses startup tingkat rendah untuk meninggalkan komputer korban di tempat yang tidak tepercaya, tidak aman, dan tidak aman. negara.

Sederhananya, Anda bisa, setidaknya secara teori, berakhir tidak hanya dengan a rootkit, tapi a bootkit.

A rootkit, dalam jargon, adalah kode yang memanipulasi kernel sistem operasi untuk bahkan mencegah sistem operasi itu sendiri mendeteksi, melaporkan, atau mencegah jenis malware tertentu di kemudian hari.

Beberapa rootkit dapat diaktifkan setelah sistem operasi dimuat, biasanya dengan mengeksploitasi kerentanan tingkat kernel untuk membuat perubahan internal yang tidak sah pada kode sistem operasi itu sendiri.

Rootkit lain menghindari kebutuhan untuk lubang keamanan tingkat kernel dengan menumbangkan bagian dari urutan startup berbasis firmware, yang bertujuan agar pintu belakang keamanan diaktifkan sebelum sistem operasi mulai memuat, sehingga membahayakan beberapa kode yang mendasarinya. keamanan sistem itu sendiri bergantung.

Dan a bootkit, secara longgar, mengambil pendekatan itu lebih jauh lagi, sehingga pintu belakang tingkat rendah dimuat sedini mungkin dan tidak terdeteksi dalam proses bootstrap firmware, bahkan mungkin sebelum komputer memeriksa dan membaca apa pun dari hard disk sama sekali.

Bootkit turun pada level itu berarti bahkan menghapus atau mengganti seluruh hard disk Anda (termasuk yang disebut Partisi Sistem Antarmuka Firmware yang Diperpanjang, disingkat EFI atau ESP) tidak cukup untuk mendisinfeksi sistem.

Sebagai analogi, Anda dapat menganggap rootkit yang dimuat setelah sistem operasi seperti mencoba menyuap juri untuk membebaskan terdakwa yang bersalah dalam persidangan pidana. (Risiko terjadinya hal ini adalah salah satu alasan mengapa juri kriminal biasanya memiliki 12, 15 atau lebih anggota.)

Rootkit yang memuat terlambat dalam proses firmware agak mirip dengan mencoba menyuap jaksa penuntut atau kepala penyelidik untuk melakukan pekerjaan yang buruk dan meninggalkan setidaknya beberapa celah bukti untuk lolos dari pihak yang bersalah.

Tapi bootkit lebih seperti meminta badan legislatif itu sendiri untuk mencabut undang-undang di mana terdakwa didakwa, sehingga kasusnya, tidak peduli seberapa hati-hati bukti dikumpulkan dan disajikan, tidak dapat dilanjutkan sama sekali.

Apa yang harus dilakukan?

Kunci publik Boot Guard, setelah dibakar ke dalam motherboard Anda, tidak dapat diperbarui, jadi jika kunci pribadi yang sesuai disusupi, tidak ada yang dapat Anda lakukan untuk memperbaiki masalah.

Kunci penandatanganan firmware yang disusupi dapat dihentikan dan diganti, yang memberi pengunduh firmware dan alat pemutakhiran kesempatan untuk memperingatkan Anda di masa mendatang tentang firmware yang ditandatangani dengan kunci yang sekarang tidak dipercaya, tetapi ini tidak secara aktif mencegah kunci penandatanganan yang dicuri digunakan .

Kehilangan kunci penandatanganan mirip dengan kehilangan kunci master fisik untuk setiap lantai dan setiap suite di gedung perkantoran.

Setiap kali Anda mengubah salah satu kunci yang disusupi, Anda telah mengurangi kegunaan kunci yang dicuri, tetapi kecuali dan sampai Anda mengubah setiap kunci, Anda belum menyelesaikan masalah keamanan Anda dengan benar.

Tetapi jika Anda segera mengganti setiap kunci di gedung dalam semalam, Anda akan mengunci semua orang, sehingga Anda tidak akan dapat membiarkan penyewa dan pekerja asli terus menggunakan kantor mereka selama masa tenggang di mana mereka dapat menukar kunci lama mereka. untuk yang baru.

Oleh karena itu, taruhan terbaik Anda dalam hal ini adalah tetap berpegang pada saran asli MSI:

[O]dapatkan pembaruan firmware/BIOS hanya dari situs web resmi [MSI], dan [jangan] gunakan file dari sumber selain situs web resmi.

Sayangnya, nasihat itu mungkin bermuara pada lima kata yang tidak sepenuhnya membantu dan tanda seru.

Hati-hati di luar sana, teman-teman!

---

Update. Perusahaan humas Intel mengirim email kepada kami untuk memberi tahu kami bahwa perusahaan tersebut “mengetahui laporan ini dan secara aktif menyelidiki.” Mereka juga meminta kami untuk menunjukkan itu “Kunci Intel Boot Guard OEM dihasilkan oleh pabrikan sistem, [jadi] ini bukan kunci penandatanganan Intel.” Singkatan OEM adalah kependekan dari produsen peralatan asli, istilah yang agak membingungkan tetapi sudah lama ada yang merujuk bukan pada pemasok atau pemasok komponen individual yang dibuat menjadi produk, tetapi pada vendor yang membuat sistem lengkap. Misalnya, saat Anda membeli apa yang mungkin Anda sebut sebagai "motherboard Intel" dari MSI, MSI adalah OEM-nya, sedangkan Intel adalah pemasok chip prosesor, dan mungkin komponen chipset lainnya, yang menjadi inti dari produk jadi. (Jika motherboard Anda adalah kabel keamanan sepeda, maka Intel akan membuat kuncinya, tetapi OEM akan mengelas kabelnya, menutupi produk dengan lapisan pelindungnya, dan memilih nomor untuk kombinasinya.) [2023-05 -09T22:45Z]

---

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
• Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
• Sumber: https://nakedsecurity.sophos.com/2023/05/09/low-level-motherboard-security-keys-leaked-in-msi-breach-claim-researchers/