Araştırmacılar, MSI ihlalinde düşük seviyeli anakart güvenlik anahtarlarının sızdırıldığını iddia ediyor

Yaklaşık bir ay önce, hakkında bir yazı yazdık. veri ihlali bildirimi büyük anakart üreticisi MSI tarafından yayınlandı.

Şirket dedi ki:

MSI kısa süre önce bilgi sistemlerinin bir bölümünde bir siber saldırıya uğradı. [...] Şu anda, etkilenen sistemler, finansal işler üzerinde önemli bir etki olmaksızın, kademeli olarak normal operasyonlarına devam etti. […] MSI, kullanıcıları üretici yazılımı/BIOS güncellemelerini yalnızca resmi web sitesinden almaya ve resmi web sitesi dışındaki kaynaklardan dosya kullanmamaya teşvik eder.

Şirketin suçu, Money Message adlı bir siber şantaj çetesinin MSI kaynak kodunu, BIOS geliştirme araçlarını ve özel anahtarları çaldığını iddia etmesinden iki gün sonra geldi.

O sırada suçlular hâlâ geri sayım modundaydılar ve yapacaklarını iddia ettiler. "zamanlayıcı süresi dolduğunda çalınan verileri yayınla":

Saat durdu

Yukarıdaki ekran görüntüsündeki "ifşa zamanlayıcısının" süresi bir aydan biraz daha uzun bir süre önce 2023-04-07'de doldu, ancak karanlık ağdaki Money Message sitesi bunun dışında çetenin ilk gönderisinden bu yana değişmedi:

Bununla birlikte, güvenlik açığı araştırma şirketi Binarly'deki araştırmacılar, yalnızca ihlalde çalınan verileri ele geçirdiklerini değil, aynı zamanda gömülü kriptografik anahtarlar için arama yaptıklarını ve çok sayıda isabet bulduklarını iddia ediyorlar.

Şimdiye kadar, Binarly iddia ediyor Github ve Twitter [2023-05-09T14:00Z]'yi şu şekilde tanımladıkları da dahil olmak üzere, sahip olduğu verilerden çok sayıda imzalama anahtarı çıkarmış olmak:

• 1 Intel OEM anahtarı. Görünüşe göre, bu anahtar 11 farklı anakartta ürün yazılımı hata ayıklamasını kontrol etmek için kullanılabilir.
• 27 görüntü imzalama anahtarı. Binarly, bu anahtarların 57 farklı MSI anakartı için ürün yazılımı güncellemelerini imzalamak için kullanılabileceğini iddia ediyor.
• 4 Intel Önyükleme Koruması anahtarı. Sızan bu anahtarlar, görünüşe göre 116 farklı MSI anakartı için ürün yazılımı kodunun çalışma zamanı doğrulamasını kontrol ediyor.

Donanım tabanlı BIOS koruması

Intel'e göre kendi belgeleri, modern Intel tabanlı anakartlar, birden çok kriptografik güvenlik katmanıyla korunabilir.

Önce gelir BIOS Koruması, yalnızca üretici tarafından belirtilen şifreleme anahtarıyla imzalanan kodun sözde depolamak için kullanılan flash belleğe yazma erişimi almasına izin verir. İlk Önyükleme Bloğuveya İBB.

Adından da anlaşılacağı gibi IBB, anakart satıcısının başlangıç ​​kodunun ilk bileşeninin yaşadığı yerdir.

Bunu bozmak, bir saldırgana virüs bulaşmış bir bilgisayar üzerinde yalnızca daha sonra yüklenen herhangi bir işletim sisteminin altındaki bir seviyede değil, aynı zamanda resmi EFI'de (genişletilmiş aygıt yazılımı arabirimi) disk bölümü, potansiyel olarak bu bölüm bellenimin kendi Güvenli Önyükleme dijital imza sistemi tarafından korunuyor olsa bile.

BIOS Guard geldikten sonra Önyükleme Koruması, IBB'den yüklenen kodu doğrular.

Buradaki fikir, BIOS Guard'ın, sahte ürün yazılımı güncelleme araçlarına yazma erişimini reddederek, herhangi bir resmi olmayan ürün yazılımı güncellemesinin ilk etapta flaşlanmasını önlemesi gerektiği gibi görünüyor…

…anakart satıcısı tarafından “resmi olarak” imzalanan ürün yazılımına, sızan bir ürün yazılımı görüntü imzalama anahtarı nedeniyle güvenilemeyeceğini söyleyemez.

Boot Guard burada devreye girerek, her başlatma sırasında çalışma zamanında sistemin ana kartınız için onaylanmayan bir üretici yazılımı çalıştırdığını algılamayı amaçlayan ikinci bir doğrulama düzeyi sağlar.

Bir kez yazılabilen anahtar depolama

Hem BIOS Guard hem de Boot Guard tarafından sağlanan kriptografik doğrulama düzeyini güçlendirmek ve süreci belirli bir anakart veya anakart ailesine bağlamak için kullandıkları kriptografik anahtarların kendileri yeniden yazılabilir flash bellekte saklanmaz.

Kurtuldular ya şişmiş, jargonda, anakartın kendisinde yerleşik bir kez yazılır belleğe.

Kelime şişmiş depolama devresinin, küçük elektrik sigortaları olarak uygulanan bir dizi nanoskopik "bağlantı telleri" olarak yapılandırılmasından kaynaklanır.

Bu bağlantılar bozulmadan bırakılabilir, yani ikili 1'ler (veya nasıl yorumlandıklarına bağlı olarak 0'lar) olarak okunacak veya onları kalıcı olarak tersine çeviren tek seferlik bir değişiklikle "patlamış" - başka bir deyişle kaynaşmış - okunacakları anlamına gelir. ikili 0'lara (veya 1'lere).

Bit yakma işleminin tetiklenmesi bir sigorta tarafından korunur, böylece anakart satıcısı bu sözde değerlerin değerini ayarlamak için tek seferlik bir şans elde eder. Alan Programlanabilir Sigortalar.

Bu iyi haber.

BIOS Guard ve Boot Guard kriptografik doğrulama anahtarları birleştirilebilir belleğe yazıldıktan sonra sonsuza dek kilitlenir ve asla alt edilemez.

Ancak buna karşılık gelen kötü haber, tabii ki, bu evrenin sonuna kadar güvenli ortak anahtarlarına karşılık gelen özel anahtarların güvenliği ihlal edilirse, yakılan ortak anahtarların tehlikeye atılmasıdır. asla güncellenemez.

Benzer şekilde, yukarıda bahsedildiği gibi, hata ayıklama seviyesindeki bir OEM anahtarı, bir anakart satıcısına, başlatılırken, talimat talimatını izlemek, davranışını değiştirmek, verileri gözetlemek ve değiştirmek de dahil olmak üzere ürün yazılımı üzerinde kontrol sahibi olması için bir yol sağlar. hafızada tutuyor ve çok daha fazlası.

Tahmin edebileceğiniz gibi, başlatma işlemine bu tür bir erişim ve denetim, geliştiricilerin kodu müşterilere gidecek olan anakartlara yazılmadan önce doğrudan laboratuvarda almalarına yardımcı olmayı amaçlamaktadır.

Intel'in belgeleme üç hata ayıklama düzeyi listeler.

Yeşil herhangi bir düşük seviyeli sırrı ifşa etmesi veya başlatma işleminin değiştirilmesine izin vermesi beklenmeyen, herkese izin verilen hata ayıklama erişimini belirtir.

Portakal ilgili satıcının özel anahtarına sahip birine izin verilen tam, okuma-yazma hata ayıklama erişimini belirtir.

Kırmızı turuncu ile aynı şeyi ifade eder, ancak herhangi bir vnedor anakartının kilidini açabilen Intel'e ait bir ana özel anahtarı ifade eder.

Intel'in oldukça açık ve net bir şekilde belgelerinde belirttiği gibi:

Platform Üreticisinin [Turuncu Mod] kimlik doğrulama anahtarını başka herhangi bir hata ayıklayıcı grubuyla paylaşmayacağı varsayılır.

Ne yazık ki Binarly, dolandırıcıların HP, Lenovo, Star Labs, AOPEN ve CompuLab tarafından sağlanan 11 farklı anakartta düşük seviyeli önyükleme süresi hata ayıklamasını sağlayabilen bir Turuncu Mod anahtarını sızdırdığını iddia ediyor.

Bootkit'e dikkat edin

Bu nedenle Binarly'nin iddiaları, bir üretici yazılımı imzalama anahtarı ve bir Önyükleme Koruması imzalama anahtarıyla, bir saldırganın yalnızca sizi ve üretici yazılımı güncelleme araçlarınızı kandırarak ilk etapta gerçek bir aygıt yazılımı güncellemesi gibi görünen bir şey yüklemesini sağlayamayacağını öne sürüyor gibi görünmektedir...

…aynı zamanda, güncelleme İlk Önyükleme Bloğunun kendisine yama yapsa bile, Önyükleme Koruması yoluyla donanım kilitli bir ana kartı kandırarak, sahte ürün yazılımının yüklenmesine izin verebilir.

Aynı şekilde, çalınan bir bilgisayarı üretici yazılımı hata ayıklama modunda başlatabilmek, bir saldırganın hileli kod çalıştırmasına veya yerleştirmesine, sırları çıkarmasına veya kurbanın bilgisayarını güvenilmeyen, güvensiz ve güvensiz bir durumda bırakmak için düşük seviyeli başlatma sürecini başka bir şekilde manipüle etmesine izin verebilir. durum.

Basitçe söylemek gerekirse, en azından teoride, sadece bir rootkit, Ancak bir bootkit.

A rootkit, jargonda, işletim sisteminin kendisinin bile daha sonra belirli kötü amaçlı yazılım türlerini algılamasını, bildirmesini veya engellemesini önlemek için işletim sistemi çekirdeğini yöneten koddur.

Bazı rootkit'ler, işletim sistemi yüklendikten sonra, genellikle işletim sistemi kodunda yetkisiz dahili değişiklikler yapmak için çekirdek düzeyindeki bir güvenlik açığından yararlanılarak etkinleştirilebilir.

Diğer rootkit'ler, işletim sistemi yüklenmeye başlamadan önce bir güvenlik arka kapısının etkinleştirilmesini amaçlayarak, bellenim tabanlı başlatma dizisinin bir bölümünü alt üst ederek çekirdek düzeyinde bir güvenlik açığı ihtiyacını ortadan kaldırır, böylece işletim sisteminin üzerinde bulunduğu temel kodun bir kısmını tehlikeye atar. sistemin kendi güvenliğine dayanır.

Ve bir bootkit, kabaca söylemek gerekirse, bu yaklaşımı daha da ileriye götürür, böylece düşük seviyeli arka kapı, ürün yazılımı önyükleme sürecinde mümkün olduğu kadar erken ve algılanamayacak şekilde, hatta belki de bilgisayar sabit diskten herhangi bir şeyi inceleyip okumadan önce yüklenir.

Bu seviyedeki bir bootkit, tüm sabit diskinizi (sözde sabit diskiniz dahil) silmeniz veya değiştirmeniz anlamına gelir. Genişletilmiş Bellenim Arayüzü Sistem Bölümü, kısaltılmış EFI veya ESP) sistemi dezenfekte etmek için yeterli değildir.

Bir benzetme olarak, işletim sisteminden sonra yüklenen bir rootkit'i, bir ceza davasında suçlu bir sanığı beraat ettirmek için bir jüriye rüşvet vermeye çalışmak gibi düşünebilirsiniz. (Bunun olma riski, ceza jürilerinin tipik olarak 12, 15 veya daha fazla üyeye sahip olmasının bir nedenidir.)

Donanım yazılımı sürecinde geç yüklenen bir rootkit, savcıya veya baş araştırmacıya kötü bir iş yapması için rüşvet vermeye ve suçlu tarafların sıyrılması için en azından bazı delil boşlukları bırakmaya benzer.

Ancak bir bootkit daha çok yasama organının sanığın suçlandığı yasayı yürürlükten kaldırmasını sağlamaya benzer, böylece deliller ne kadar dikkatli toplanır ve sunulursa sunulsun dava hiçbir şekilde ilerleyemez.

Ne yapalım?

Önyükleme Koruması ortak anahtarları, ana kartınıza yazıldıktan sonra güncellenemez, dolayısıyla karşılık gelen özel anahtarlarının güvenliği ihlal edilirse, sorunu düzeltmek için yapabileceğiniz hiçbir şey yoktur.

Güvenliği ihlal edilmiş üretici yazılımı imzalama anahtarları kullanımdan kaldırılabilir ve değiştirilebilir, bu da üretici yazılımı indiricilerine ve güncelleme araçlarına gelecekte artık güvenilmeyen bir anahtarla imzalanan üretici yazılımı hakkında sizi uyarma şansı verir, ancak bu, çalınan imzalama anahtarlarının kullanılmasını aktif olarak engellemez .

İmza anahtarlarını kaybetmek, bir ofis binasındaki her katın ve her süitin fiziksel ana anahtarını kaybetmeye benzer.

Güvenliği ihlal edilmiş kilitlerden birini her değiştirdiğinizde, çalınan anahtarın kullanışlılığını azaltmış olursunuz, ancak her bir kilidi değiştirmediğiniz sürece, güvenlik sorununuzu düzgün bir şekilde çözmüş olmazsınız.

Ancak binadaki her bir kilidi bir gecede hemen değiştirirseniz, herkesi kilitlersiniz, böylece gerçek kiracıların ve işçilerin eski anahtarlarını değiştirebilecekleri bir ödemesiz süre boyunca ofislerini kullanmaya devam etmelerine izin veremezsiniz. yenileri için

Bu durumda yapabileceğiniz en iyi şey, MSI'ın orijinal tavsiyesine sıkı sıkıya bağlı kalmaktır:

[O]ürün yazılımı/BIOS güncellemelerini yalnızca [MSI'nın] resmi web sitesinden edinin ve resmi web sitesi dışındaki kaynaklardan gelen dosyaları [kullanmayın].

Ne yazık ki, bu tavsiye muhtemelen tamamen yardımcı olmayan beş kelimeye ve bir ünlem işaretine kadar iniyor.

Orada dikkatli olun millet!

---

Güncelleştirme. Intel'in halkla ilişkiler şirketi bize e-posta göndererek şirketin "Bu raporların farkında ve aktif olarak araştırıyor." Bizden de bunu belirtmemizi istediler. "Intel Boot Guard OEM anahtarları, sistem üreticisi tarafından oluşturulur, [dolayısıyla] bunlar Intel imzalama anahtarları değildir." Kısaltma OEM kısaltmasıdır orijinal ekipman üreticisi, biraz kafa karıştırıcı ama köklü bir terim olup, bir üründe yerleşik olan tek tek bileşenlerin tedarikçisini veya tedarikçilerini değil, tüm sistemi imal eden satıcıyı ifade eder. Örneğin, MSI'dan "Intel anakart" diyebileceğiniz bir şey satın aldığınızda, MSI OEM'dir, Intel ise işlemci yongasının ve belki de bitmiş ürünün merkezindeki diğer yonga seti bileşenlerinin tedarikçisidir. (Anakartınız bir bisiklet güvenlik kablosu olsaydı, kilidi Intel yapardı, ancak OEM kabloyu kaynak yapar, ürünü koruyucu kaplamasıyla kaplar ve kombinasyon için sayıları seçerdi.) [2023-05 -09T22:45Z]

---

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
• Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
• PREIPO® ile PRE-IPO Şirketlerinde Hisse Al ve Sat. Buradan Erişin.
• Kaynak: https://nakedsecurity.sophos.com/2023/05/09/low-level-motherboard-security-keys-leaked-in-msi-breach-claim-researchers/