MSI侵害で低レベルのマザーボードのセキュリティキーが漏洩した、と研究者は主張

MSI侵害で低レベルのマザーボードのセキュリティキーが漏洩した、と研究者は主張

タイムスタンプ:9年2023月2日58:XNUMX PM
ソースノード: 2641177
by

約XNUMXか月前、私たちは次のことについて書きました データ侵害通知 大手マザーボードメーカーのMSIが発行。

同社は言った:

MSIは最近、情報システムの一部に対してサイバー攻撃を受けました。 […] 現在、影響を受けたシステムは徐々に通常業務を再開しており、金融業務への重大な影響は出ていません。 […] MSI はユーザーに対し、ファームウェア/BIOS アップデートは公式 Web サイトからのみ入手し、公式 Web サイト以外のソースからのファイルを使用しないことを推奨しています。

同社の重大な過失は、Money Message という名前のサイバー恐喝集団が、MSI ソース コード、BIOS 開発ツール、および秘密鍵を盗んだと主張した XNUMX 日後に発生しました。

当時、犯罪者はまだカウントダウン モードにあり、そうなると主張していました。 「タイマーが切れたら、盗まれたデータを公開する」:

侵害タイマーが期限切れになる 2023 時間前のスクリーンショット [04-07-XNUMX]。

時計が止まった

上のスクリーンショットの「表示タイマー」は 2023 年 04 月 07 日に期限切れになりましたが、ダーク ウェブのマネー メッセージ サイトは、ギャングの最初の投稿以来変更されていません。

2023か月後[05-09-XNUMX]。

それにもかかわらず、脆弱性調査会社 Binarly の研究者は、侵害で盗まれたデータを手に入れただけでなく、埋め込まれた暗号化キーを検索し、多数のヒットを見つけたと主張しています。

これまでのところ、Binarly は次のように主張しています。 githubの & Twitter [2023-05-09T14:00Z] に次のように記述されているものを含め、所有するデータから多数の署名キーを抽出しました。

  • インテル OEM キー 1 個。 どうやら、このキーを使用して 11 種類のマザーボード上のファームウェアのデバッグを制御できるようです。
  • 27 個のイメージ署名キー。 Binarly は、これらのキーを使用して 57 種類の MSI マザーボードのファームウェア アップデートに署名できると主張しています。
  • 4 つの Intel Boot Guard キー。 これらの漏洩したキーは、116 の異なる MSI マザーボードのファームウェア コードのランタイム検証を制御しているようです。

ハードウェアベースの BIOS 保護

Intelによると 独自のドキュメント、最新の Intel ベースのマザーボードは、複数層の暗号化の安全性によって保護できます。

最初に来る BIOS ガードこれにより、メーカー指定の暗号化キーで署名されたコードのみが、いわゆるファイルの保存に使用されるフラッシュ メモリへの書き込みアクセスを許可されます。 初期ブートブロック、または IBB。

名前が示すように、IBB は、マザーボード ベンダーのスタートアップ コードの最初のコンポーネントが存在する場所です。

それを破壊すると、攻撃者は感染したコンピューターを、後でロードされるオペレーティング システムよりも低いレベルで制御できるようになるだけでなく、公式の EFI (拡張ファームウェア インターフェイス) ディスク パーティション。そのパーティションがファームウェア独自のセキュア ブート デジタル署名システムによって保護されている場合でも可能です。

BIOS ガードが登場したら ブートガード、IBB からロードされたコードを検証します。

ここでの考え方は、BIOS ガードは不正なファームウェア更新ツールへの書き込みアクセスを拒否することで、そもそも非公式のファームウェア更新がフラッシュされるのを防ぐ必要があるということのようです…

…マザーボード ベンダーによって「公式に」署名されたファームウェアが、ファームウェア イメージの署名キーが漏洩しているため、信頼できないとは言えません。

ここで Boot Guard が介入し、システムがマザーボードに対して承認されていないファームウェアを実行していることを、実行時にすべての起動時に検出することを目的とした第 XNUMX レベルの証明を提供します。

ライトワンス キー ストレージ

BIOS ガードとブート ガードの両方によって提供される暗号化検証のレベルを強化し、プロセスを特定のマザーボードまたはマザーボード ファミリに関連付けるために、それらが使用する暗号化キー自体は書き換え可能なフラッシュ メモリに保存されません。

彼らは救われる、あるいは 吹き飛ばされた専門用語では、マザーボード自体に組み込まれた追記型メモリのことです。

抽出時間と 吹き飛ばされた これは、記憶回路が小さな電気ヒューズとして実装された一連のナノスケールの「接続ワイヤ」として構築されているという事実に由来します。

これらの接続はそのままにしておくことができます。つまり、1 進数の 0 (または解釈方法によっては 0) として読み取られるか、「吹き飛ばされた」、つまり融合された、1 回限りの変更で完全に反転します。バイナリ XNUMX (または XNUMX) に変換します。

ビット書き込みプロセスのトリガー自体はヒューズによって保護されているため、マザーボードのベンダーは、これらのいわゆる フィールドプログラマブルヒューズ.

それは良いニュースです。

BIOS ガードおよびブート ガード暗号検証キーが可融性メモリに書き込まれると、それらは永久にロックされ、 決して覆すことはできません.

しかしもちろん、これに対応する悪いニュースは、これらの宇宙の終わりまで安全な公開鍵に対応する秘密鍵が危険にさらされた場合、焼き付けられた公開鍵は 永遠に更新できない.

同様に、デバッグ レベルの OEM キーは、前述のように、マザーボード ベンダーに、起動中のファームウェアを制御する方法を提供します。これには、命令ごとの監視、動作の微調整、データの監視と変更などが含まれます。それは記憶などに保持されています。

ご想像のとおり、ブートアップ プロセスへのこの種のアクセスと制御は、開発者が顧客に提供されるマザーボードに焼き付けられる前に、開発者がラボでコードを取得できるようにすることを目的としています。

インテル ドキュメント に XNUMX つのデバッグ レベルを示します。

グリーン は、誰にでも許可されるデバッグ アクセスを示します。これは、低レベルの秘密を公開したり、起動プロセスの変更を許可したりすることを想定していません。

オレンジ は、対応するベンダーの秘密鍵を持っている人に許可された完全な読み書きデバッグ アクセスを示します。

レッド はオレンジ色と同じですが、vnedor のマザーボードのロックを解除できる Intel に属するマスター秘密鍵を指します。

Intel はドキュメントで明らかに、そして率直に次のように述べています。

プラットフォームの製造元は、[オレンジ モード] 認証キーを他のデバッガのセットと共有しないことが想定されています。

残念ながら、Binarly は、HP、Lenovo、Star Labs、AOPEN、および CompuLab が提供する 11 種類のマザーボードで低レベルの起動時デバッグを可能にするオレンジ モード キーを詐欺師が漏えいしたと主張しています。

ブートキットに注意してください

したがって、Binarly の主張は、ファームウェア署名キーと Boot Guard 署名キーを使用すると、攻撃者がユーザーとユーザーのファームウェア更新ツールをだまして、そもそも本物のファームウェア更新のように見えるものをインストールさせることができる可能性があることを示唆しているようです…

…しかし、ブート ガード保護によってハードウェア ロックされたマザーボードを騙して、不正なファームウェアをロードできるようにすることもできます。たとえ更新プログラムが初期ブート ブロック自体にパッチを適用したとしてもです。

同様に、盗難されたコンピュータをファームウェア デバッグ モードで起動できると、攻撃者が不正なコードを実行または埋め込んだり、機密情報を抽出したり、低レベルの起動プロセスを操作して、被害者のコンピュータを信頼できない、危険な、危険な環境に放置することが可能になる可能性があります。州。

簡単に言えば、少なくとも理論的には、 ルートキットが、 ブートキット.

A ルートキットは、専門用語では、オペレーティング システム自体でさえ、後で特定の種類のマルウェアを検出、報告、または防止できないようにするために、オペレーティング システムのカーネルを操作するコードです。

一部のルートキットは、オペレーティング システムのロード後にアクティブ化できます。通常、カーネル レベルの脆弱性を悪用して、オペレーティング システム コード自体に不正な内部変更を加えます。

他のルートキットは、ファームウェア ベースの起動シーケンスの一部を破壊することでカーネル レベルのセキュリティ ホールの必要性を回避し、オペレーティング システムのロードが開始される前にセキュリティ バックドアをアクティブにすることを目的としており、オペレーティング システムの基礎となるコードの一部を侵害します。システム自体のセキュリティに依存します。

そして、 ブートキット、大まかに言えば、そのアプローチをさらに進めて、低レベルのバックドアがファームウェアのブートストラップ プロセスのできるだけ早い段階で、可能な限り検出されないように読み込まれるようにします。

そのレベルのブートキットは、ハードディスク全体を消去または交換することを意味します (いわゆる 拡張ファームウェア インターフェイス システム パーティション、略して EFI または ESP) では、システムを駆除するには不十分です。

一般的な Mac のディスク設定。
EFI パーティションはそれに応じてラベル付けされます。
一般的な Windows 11 ディスクのセットアップ。
タイプ c12a7...ec93b EFI パーティションを示します。

類推として、オペレーティング システムの後にロードされるルートキットは、刑事裁判で有罪の被告人を無罪にするために陪審員に賄賂を贈ろうとするようなものと考えることができます。 (これが起こるリスクは、刑事陪審員が通常 12、15、またはそれ以上のメンバーを持っている理由の XNUMX つです。)

ファームウェア プロセスの後半でロードされるルートキットは、検察官や主任捜査官に賄賂を渡して悪い仕事をさせようとするのと少し似ています。

しかし、ブートキットはむしろ、被告が起訴されている法律そのものを議会自体が廃止するように仕向けることに似ており、その結果、どんなに慎重に証拠が収集され提出されたとしても、訴訟をまったく進めることができなくなる。

何をするか?

Boot Guard の公開鍵は、マザーボードに焼き付けられると更新できないため、対応する秘密鍵が侵害された場合、問題を修正するためにできることは何もありません。

侵害されたファームウェア署名キーは廃止され、置き換えられる可能性があります。これにより、ファームウェア ダウンローダーや更新ツールが、現在信頼されていないキーで署名されたファームウェアについて将来警告する機会が得られますが、これは、盗まれた署名キーの使用を積極的に防止するものではありません。 。

署名キーを紛失することは、オフィスビルのすべてのフロアおよびすべてのスイートの物理的なマスターキーを紛失することに似ています。

侵害されたロックの XNUMX つを変更するたびに、盗まれたキーの有用性が低下しますが、すべてのロックを変更しない限り、セキュリティの問題を適切に解決したことにはなりません。

しかし、一晩で建物内のすべての鍵をすぐに交換すると、全員が締め出されることになり、本物のテナントや従業員が古い鍵を交換できる猶予期間の間、オフィスを使い続けることができなくなります。新しいもののために。

したがって、この場合の最善の策は、MSI の当初のアドバイスに忠実に従うことです。

ファームウェア/BIOS の更新は [MSI の] 公式 Web サイトからのみ [取得] し、公式 Web サイト以外のソースからのファイルを [使用しないでください]。

残念ながら、そのアドバイスはおそらく、まったく役に立たない XNUMX つの言葉と感嘆符に要約されるでしょう。

皆さん、気をつけてください!

アップデート。 インテルの PR 会社から電子メールが届き、同社は次のように述べています。 「これらの報告を認識しており、積極的に調査しています。」 彼らはまた、私たちにそれを指摘するように求めました 「インテル ブート ガード OEM キーはシステム メーカーによって生成されるため、これらはインテル署名キーではありません。」 OEM の略称は、 OEMメーカーとは、製品に組み込まれた個々のコンポーネントの供給者または供給者ではなく、完全なシステムを製造したベンダーを指す、やや紛らわしいが長い間確立された用語です。 たとえば、MSI から「Intel マザーボード」と呼ばれるものを購入する場合、MSI は OEM であり、Intel は最終製品の心臓部にあるプロセッサ チップやその他のチップセット コンポーネントのサプライヤです。 (あなたのマザーボードが自転車用セキュリティ ケーブルである場合、Intel がロックを作成しますが、OEM はケーブルを溶接し、製品を保護コーティングで覆い、組み合わせの番号を選択します。) [2023-05 -09T22:45Z]

タイムスタンプ:

より多くの 裸のセキュリティ