約XNUMXか月前、私たちは次のことについて書きました データ侵害通知 大手マザーボードメーカーのMSIが発行。
同社は言った:
MSIは最近、情報システムの一部に対してサイバー攻撃を受けました。 […] 現在、影響を受けたシステムは徐々に通常業務を再開しており、金融業務への重大な影響は出ていません。 […] MSI はユーザーに対し、ファームウェア/BIOS アップデートは公式 Web サイトからのみ入手し、公式 Web サイト以外のソースからのファイルを使用しないことを推奨しています。
同社の重大な過失は、Money Message という名前のサイバー恐喝集団が、MSI ソース コード、BIOS 開発ツール、および秘密鍵を盗んだと主張した XNUMX 日後に発生しました。
当時、犯罪者はまだカウントダウン モードにあり、そうなると主張していました。 「タイマーが切れたら、盗まれたデータを公開する」:
時計が止まった
上のスクリーンショットの「表示タイマー」は 2023 年 04 月 07 日に期限切れになりましたが、ダーク ウェブのマネー メッセージ サイトは、ギャングの最初の投稿以来変更されていません。
それにもかかわらず、脆弱性調査会社 Binarly の研究者は、侵害で盗まれたデータを手に入れただけでなく、埋め込まれた暗号化キーを検索し、多数のヒットを見つけたと主張しています。
これまでのところ、Binarly は次のように主張しています。 githubの & Twitter [2023-05-09T14:00Z] に次のように記述されているものを含め、所有するデータから多数の署名キーを抽出しました。
- インテル OEM キー 1 個。 どうやら、このキーを使用して 11 種類のマザーボード上のファームウェアのデバッグを制御できるようです。
- 27 個のイメージ署名キー。 Binarly は、これらのキーを使用して 57 種類の MSI マザーボードのファームウェア アップデートに署名できると主張しています。
- 4 つの Intel Boot Guard キー。 これらの漏洩したキーは、116 の異なる MSI マザーボードのファームウェア コードのランタイム検証を制御しているようです。
ハードウェアベースの BIOS 保護
Intelによると 独自のドキュメント、最新の Intel ベースのマザーボードは、複数層の暗号化の安全性によって保護できます。
最初に来る BIOS ガードこれにより、メーカー指定の暗号化キーで署名されたコードのみが、いわゆるファイルの保存に使用されるフラッシュ メモリへの書き込みアクセスを許可されます。 初期ブートブロック、または IBB。
名前が示すように、IBB は、マザーボード ベンダーのスタートアップ コードの最初のコンポーネントが存在する場所です。
それを破壊すると、攻撃者は感染したコンピューターを、後でロードされるオペレーティング システムよりも低いレベルで制御できるようになるだけでなく、公式の EFI (拡張ファームウェア インターフェイス) ディスク パーティション。そのパーティションがファームウェア独自のセキュア ブート デジタル署名システムによって保護されている場合でも可能です。
BIOS ガードが登場したら ブートガード、IBB からロードされたコードを検証します。
ここでの考え方は、BIOS ガードは不正なファームウェア更新ツールへの書き込みアクセスを拒否することで、そもそも非公式のファームウェア更新がフラッシュされるのを防ぐ必要があるということのようです…
…マザーボード ベンダーによって「公式に」署名されたファームウェアが、ファームウェア イメージの署名キーが漏洩しているため、信頼できないとは言えません。
ここで Boot Guard が介入し、システムがマザーボードに対して承認されていないファームウェアを実行していることを、実行時にすべての起動時に検出することを目的とした第 XNUMX レベルの証明を提供します。
ライトワンス キー ストレージ
BIOS ガードとブート ガードの両方によって提供される暗号化検証のレベルを強化し、プロセスを特定のマザーボードまたはマザーボード ファミリに関連付けるために、それらが使用する暗号化キー自体は書き換え可能なフラッシュ メモリに保存されません。
彼らは救われる、あるいは 吹き飛ばされた専門用語では、マザーボード自体に組み込まれた追記型メモリのことです。
抽出時間と 吹き飛ばされた これは、記憶回路が小さな電気ヒューズとして実装された一連のナノスケールの「接続ワイヤ」として構築されているという事実に由来します。
これらの接続はそのままにしておくことができます。つまり、1 進数の 0 (または解釈方法によっては 0) として読み取られるか、「吹き飛ばされた」、つまり融合された、1 回限りの変更で完全に反転します。バイナリ XNUMX (または XNUMX) に変換します。
ビット書き込みプロセスのトリガー自体はヒューズによって保護されているため、マザーボードのベンダーは、これらのいわゆる フィールドプログラマブルヒューズ.
それは良いニュースです。
BIOS ガードおよびブート ガード暗号検証キーが可融性メモリに書き込まれると、それらは永久にロックされ、 決して覆すことはできません.
しかしもちろん、これに対応する悪いニュースは、これらの宇宙の終わりまで安全な公開鍵に対応する秘密鍵が危険にさらされた場合、焼き付けられた公開鍵は 永遠に更新できない.
同様に、デバッグ レベルの OEM キーは、前述のように、マザーボード ベンダーに、起動中のファームウェアを制御する方法を提供します。これには、命令ごとの監視、動作の微調整、データの監視と変更などが含まれます。それは記憶などに保持されています。
ご想像のとおり、ブートアップ プロセスへのこの種のアクセスと制御は、開発者が顧客に提供されるマザーボードに焼き付けられる前に、開発者がラボでコードを取得できるようにすることを目的としています。
インテル ドキュメント に XNUMX つのデバッグ レベルを示します。
グリーン は、誰にでも許可されるデバッグ アクセスを示します。これは、低レベルの秘密を公開したり、起動プロセスの変更を許可したりすることを想定していません。
オレンジ は、対応するベンダーの秘密鍵を持っている人に許可された完全な読み書きデバッグ アクセスを示します。
レッド はオレンジ色と同じですが、vnedor のマザーボードのロックを解除できる Intel に属するマスター秘密鍵を指します。
Intel はドキュメントで明らかに、そして率直に次のように述べています。
プラットフォームの製造元は、[オレンジ モード] 認証キーを他のデバッガのセットと共有しないことが想定されています。
残念ながら、Binarly は、HP、Lenovo、Star Labs、AOPEN、および CompuLab が提供する 11 種類のマザーボードで低レベルの起動時デバッグを可能にするオレンジ モード キーを詐欺師が漏えいしたと主張しています。
ブートキットに注意してください
したがって、Binarly の主張は、ファームウェア署名キーと Boot Guard 署名キーを使用すると、攻撃者がユーザーとユーザーのファームウェア更新ツールをだまして、そもそも本物のファームウェア更新のように見えるものをインストールさせることができる可能性があることを示唆しているようです…
…しかし、ブート ガード保護によってハードウェア ロックされたマザーボードを騙して、不正なファームウェアをロードできるようにすることもできます。たとえ更新プログラムが初期ブート ブロック自体にパッチを適用したとしてもです。
同様に、盗難されたコンピュータをファームウェア デバッグ モードで起動できると、攻撃者が不正なコードを実行または埋め込んだり、機密情報を抽出したり、低レベルの起動プロセスを操作して、被害者のコンピュータを信頼できない、危険な、危険な環境に放置することが可能になる可能性があります。州。
簡単に言えば、少なくとも理論的には、 ルートキットが、 ブートキット.
A ルートキットは、専門用語では、オペレーティング システム自体でさえ、後で特定の種類のマルウェアを検出、報告、または防止できないようにするために、オペレーティング システムのカーネルを操作するコードです。
一部のルートキットは、オペレーティング システムのロード後にアクティブ化できます。通常、カーネル レベルの脆弱性を悪用して、オペレーティング システム コード自体に不正な内部変更を加えます。
他のルートキットは、ファームウェア ベースの起動シーケンスの一部を破壊することでカーネル レベルのセキュリティ ホールの必要性を回避し、オペレーティング システムのロードが開始される前にセキュリティ バックドアをアクティブにすることを目的としており、オペレーティング システムの基礎となるコードの一部を侵害します。システム自体のセキュリティに依存します。
そして、 ブートキット、大まかに言えば、そのアプローチをさらに進めて、低レベルのバックドアがファームウェアのブートストラップ プロセスのできるだけ早い段階で、可能な限り検出されないように読み込まれるようにします。
そのレベルのブートキットは、ハードディスク全体を消去または交換することを意味します (いわゆる 拡張ファームウェア インターフェイス システム パーティション、略して EFI または ESP) では、システムを駆除するには不十分です。
類推として、オペレーティング システムの後にロードされるルートキットは、刑事裁判で有罪の被告人を無罪にするために陪審員に賄賂を贈ろうとするようなものと考えることができます。 (これが起こるリスクは、刑事陪審員が通常 12、15、またはそれ以上のメンバーを持っている理由の XNUMX つです。)
ファームウェア プロセスの後半でロードされるルートキットは、検察官や主任捜査官に賄賂を渡して悪い仕事をさせようとするのと少し似ています。
しかし、ブートキットはむしろ、被告が起訴されている法律そのものを議会自体が廃止するように仕向けることに似ており、その結果、どんなに慎重に証拠が収集され提出されたとしても、訴訟をまったく進めることができなくなる。
何をするか?
Boot Guard の公開鍵は、マザーボードに焼き付けられると更新できないため、対応する秘密鍵が侵害された場合、問題を修正するためにできることは何もありません。
侵害されたファームウェア署名キーは廃止され、置き換えられる可能性があります。これにより、ファームウェア ダウンローダーや更新ツールが、現在信頼されていないキーで署名されたファームウェアについて将来警告する機会が得られますが、これは、盗まれた署名キーの使用を積極的に防止するものではありません。 。
署名キーを紛失することは、オフィスビルのすべてのフロアおよびすべてのスイートの物理的なマスターキーを紛失することに似ています。
侵害されたロックの XNUMX つを変更するたびに、盗まれたキーの有用性が低下しますが、すべてのロックを変更しない限り、セキュリティの問題を適切に解決したことにはなりません。
しかし、一晩で建物内のすべての鍵をすぐに交換すると、全員が締め出されることになり、本物のテナントや従業員が古い鍵を交換できる猶予期間の間、オフィスを使い続けることができなくなります。新しいもののために。
したがって、この場合の最善の策は、MSI の当初のアドバイスに忠実に従うことです。
ファームウェア/BIOS の更新は [MSI の] 公式 Web サイトからのみ [取得] し、公式 Web サイト以外のソースからのファイルを [使用しないでください]。
残念ながら、そのアドバイスはおそらく、まったく役に立たない XNUMX つの言葉と感嘆符に要約されるでしょう。
皆さん、気をつけてください!
アップデート。 インテルの PR 会社から電子メールが届き、同社は次のように述べています。 「これらの報告を認識しており、積極的に調査しています。」 彼らはまた、私たちにそれを指摘するように求めました 「インテル ブート ガード OEM キーはシステム メーカーによって生成されるため、これらはインテル署名キーではありません。」 OEM の略称は、 OEMメーカーとは、製品に組み込まれた個々のコンポーネントの供給者または供給者ではなく、完全なシステムを製造したベンダーを指す、やや紛らわしいが長い間確立された用語です。 たとえば、MSI から「Intel マザーボード」と呼ばれるものを購入する場合、MSI は OEM であり、Intel は最終製品の心臓部にあるプロセッサ チップやその他のチップセット コンポーネントのサプライヤです。 (あなたのマザーボードが自転車用セキュリティ ケーブルである場合、Intel がロックを作成しますが、OEM はケーブルを溶接し、製品を保護コーティングで覆い、組み合わせの番号を選択します。) [2023-05 -09T22:45Z]
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
- PREIPO® を使用して PRE-IPO 企業の株式を売買します。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/05/09/low-level-motherboard-security-keys-leaked-in-msi-breach-claim-researchers/
- :持っている
- :は
- :not
- :どこ
- $UP
- 1
- 11
- 116
- 12
- 視聴者の38%が
- 50
- 70
- a
- できる
- 私たちについて
- 上記の.
- 絶対の
- アクセス
- それに応じて
- 積極的に
- アドバイス
- 後
- 前
- 目指す
- 目指して
- すべて
- 許す
- 許可
- ことができます
- また
- しかし
- an
- &
- どれか
- 誰も
- 何でも
- アプローチ
- 承認された
- です
- AS
- 想定される
- At
- 認証
- 著者
- オート
- 知って
- 裏口
- 背景画像
- 悪い
- BE
- き
- さ
- 以下
- BEST
- 賭ける
- ビット
- ブロック
- ブートストラップ
- 国境
- 両言語で
- ボトム
- 違反
- 建物
- 内蔵
- 焼け
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- 購入
- by
- ケーブル
- 来ました
- 缶
- 注意深い
- 慎重に
- 場合
- センター
- 一定
- チャンス
- 変化する
- 変更
- 変更
- 荷担した
- チーフ
- チップ
- チップセット
- 選ばれた
- クレーム
- 主張した
- 主張
- クレーム
- 密接に
- コード
- カラー
- 組み合わせ
- 来ます
- 来ます
- 会社
- 会社の
- コンプリート
- コンポーネント
- コンポーネント
- 損害を受けた
- 妥協する
- コンピュータ
- 紛らわしい
- Connections
- コントロール
- 正しい
- 対応する
- 可能性
- ここから
- カバー
- カバー
- 刑事上の
- 犯罪者
- クルックス
- 暗号
- 現在
- Customers
- サイバー攻撃
- サイバーエクストルーション
- 暗いです
- ダークウェブ
- データ
- 日
- によっては
- 開発者
- 開発
- 開発ツール
- 異なります
- デジタル
- 消毒する
- ディスプレイ
- do
- ドキュメント
- そうではありません
- ダウン
- 原因
- 間に
- 早い
- 埋め込まれた
- enable
- end
- 十分な
- 全体
- 完全に
- 装置
- さらに
- EVER
- あらゆる
- 誰も
- 証拠
- 試験
- 例
- エキス
- 実際
- 家族
- 遠く
- ファイナンシャル
- 名
- フラッシュ
- フリップス
- 床
- に前進
- から
- フル
- さらに
- 未来
- ギャング
- 生成された
- 本物の
- 取得する
- 受け
- 与える
- 与える
- Go
- 行く
- 良い
- 徐々に
- ガード
- 罪を犯しました
- 出来事
- ハード
- 持ってる
- ハート
- 高さ
- 助けます
- 役立つ
- こちら
- ヒット
- 開催
- ホール
- HOURS
- ホバー
- 認定条件
- HP
- HTML
- HTTPS
- アイデア
- if
- 画像
- 絵
- 直ちに
- 影響
- 実装
- in
- その他の
- 含めて
- 個人
- 情報
- 情報機器
- 初期
- 安全でない
- インストールする
- インテル
- インタフェース
- 内部
- に
- 発行済み
- IT
- ITS
- 自体
- 専門用語
- ジョブ
- ただ
- キープ
- キー
- キー
- ラボ
- ラボ
- 遅く
- 後で
- 法律
- 層
- 最低
- コメントを残す
- 左
- 立法府
- レノボ
- レベル
- レベル
- ような
- リスト
- 命
- 負荷
- 負荷
- ロック
- ロック
- LOOKS
- 抜け穴
- 負け
- MAC
- 製
- 主要な
- make
- マルウェア
- 製造された
- メーカー
- マージン
- マスター
- 問題
- 最大幅
- MEA
- 手段
- メンバー
- メモリ
- 言及した
- メッセージ
- かもしれない
- モード
- モダン
- 修正されました
- お金
- 月
- 他には?
- MSI
- ずっと
- の試合に
- 名
- 必要
- 決して
- 新作
- ニュース
- いいえ
- 通常の
- 何も
- 今
- 番号
- 多数の
- 入手する
- of
- Office
- 事務所
- 公式
- 公式ウェブサイト
- 古い
- on
- かつて
- ONE
- もの
- の
- オペレーティング
- オペレーティングシステム
- 業務執行統括
- or
- オレンジ
- 注文
- オリジナル
- その他
- さもないと
- でる
- が
- 一晩
- 自分の
- 部
- 部品
- パッチ
- Paul Cairns
- おそらく
- 期間
- 永久に
- 物理的な
- 場所
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 位置
- 所持
- 可能
- 投稿
- :
- pr
- PLM platform.
- 防ぐ
- 予防
- プライベート
- 秘密鍵
- 秘密鍵
- 多分
- 問題
- プロセス
- プロセッサ
- プロダクト
- 正しく
- 保護された
- 保護
- 保護
- 提供
- は、大阪で
- 提供
- 公共
- 公開鍵
- 置きます
- むしろ
- 読む
- 理由
- 最近
- 電話代などの費用を削減
- 指し
- replace
- 置き換え
- 各種レポート作成
- レポート
- 研究
- 研究者
- リスク
- ラン
- ランニング
- 安全性
- 前記
- 同じ
- 二番
- 安全に
- セキュリティ
- 思われる
- と思われる
- シーケンス
- シリーズ
- セッションに
- シェアする
- ショート
- すべき
- 符号
- 署名されました
- 重要
- 署名
- から
- ウェブサイト
- So
- 固体
- 一部
- 誰か
- ソース
- ソースコード
- ソース
- 話す
- 特定の
- スパイ
- 星
- 開始
- スタートアップ
- 都道府県
- 米国
- ステップ
- スティック
- まだ
- 盗まれました
- ストレージ利用料
- 店舗
- 保存され
- 強化する
- 示唆する
- 提案する
- スイート
- 供給
- サプライヤー
- 想定
- SVG
- swap
- システム
- 取る
- 取り
- 言う
- より
- それ
- 未来
- アプリ環境に合わせて
- それら
- 自分自身
- その後
- そこ。
- したがって、
- ボーマン
- 彼ら
- 考える
- この
- 三
- 介して
- TIE
- 時間
- 〜へ
- 豊富なツール群
- top
- 遷移
- トランスペアレント
- トライアル
- 信頼されている
- 微調整
- 2
- 一般的に
- 下
- 根本的な
- アンロック
- まで
- アップデイト
- 更新しました
- 更新版
- 更新
- 衝動
- URL
- us
- つかいます
- 中古
- users
- 公益事業
- 値
- ベンダー
- Verification
- 非常に
- 、
- 脆弱性
- 警告
- ました
- 見ている
- 仕方..
- we
- ウェブ
- ウェブサイト
- した
- この試験は
- いつ
- which
- while
- 誰
- なぜ
- 意志
- ウィンドウズ
- 11窓
- ワイピング
- Word
- 言葉
- 労働者
- でしょう
- 与えるだろう
- 書きます
- 書かれた
- 貴社
- あなたの
- ゼファーネット