MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Binarly 公司的首席执行官、研发负责人兼创始人 Alex Matrosov在一次访谈中提到,“它就像末日场景:设备非常难以得到同时更新,因而在一段时间内不是最新状态且将使用老旧签名进行验证。这个问题非常难以解决,我认为 MSI 并不具备任何备份解决方案来真正地拦截这些被泄密钥。”
密钥被泄+无撤销机制=灾难现场
今年4月,Bleeping Computer 媒体率先披露了这起勒索事件。Money Message 勒索团伙在网站上将 MSI 列为最新受害者并发布截屏展示包含私有密钥、源代码和其它数据的文件夹。一天后,MSI 发布简短声明表示,“部分信息系统遭遇网络安全攻击”,并在公告中督促客户仅从 MSI 官网获取更新,但并未提及密钥遭泄露。
之后,Matrosov 分析了这些被暗网发布的数据。他从中发现了两个私钥,第一个是签名密钥,用于数字化签名 MSI 固件更新,以加密的方式证明这些更新是来自 MSI 的合法签名。这就说明,被泄露的密钥能够推出更新,在不会触发警报的前提下感染计算机最底层区域。更糟糕的是,Matrosov 表示,MSI 并不具备像戴尔、惠普和很多大型硬件厂商那样的自动化修复流程。因而,MSI 也不具备同等的密钥撤销能力。
他认为,“这非常糟糕,这种情况不常发生。他们需要特别关注这一事件,因为事件具有非常严重的安全含义。”
除此以外,迄今为止 MSI 就此事一言不发。
过去十年来,供应链攻击在一次攻击事件中就将恶意 payload 发送至数千名用户。在2019年的 SolaWinds 事件中,当时受害者只是安装了一个合法签名的更新而已。由于控制了用来认证合法更新的密钥,被指为 APT29 和 Cozy Bear 的黑客组织就通过第一阶段的恶意软件感染了超过1.8万名客户。十家美国联邦机构和约100家私营企业收到进一步的 payload,用来安装后门实施间谍活动。
今年3月份,为190个国家超过60万组织机构制造 VoIP 软件的公司 3CX 的构建系统遭攻击。攻击者被指受朝鲜政府支持,他们借此传播恶意更新,受影响客户数量不明。Mandiant 公司随后报道称,此事件起因于 3CX 公司所使用的 X_Trader 金融交易程序的软件开发人员受攻击导致的。
目前尚未有报告表明 MSI 客户遭到供应链攻击。要获得软件构建系统所需的控制权限通常而言并不容易,它要求具备大量技能以及一些运气。由于 MSI 并没有自动更新机制或者撤销流程,因此门槛很可能较低。
不管难度如何,掌控了 MSI 用于加密验证其安装程序文件的签名密钥,大大降低了触发有效供应链攻击所需的努力和资源。Matrosov 表示,“最糟糕的场景是,攻击者不仅获得密钥的访问权限,还能够传播恶意更新。”
而荷兰国家网络安全中心 (NCSC) 在所发布的安全公告中并未排除这一可能性。公告指出,“由于成功滥用所需技术复杂度高,原则上要求对易受攻击系统具有本地访问权限,因此 NCSC 认为滥用风险较小。然而,被泄密钥很可能会滥用于针对性攻击中。NCSC 目前尚未发现被泄密钥遭滥用的任何迹象。”
除此以外,Money Message 黑客团伙还购买了MSI 发放给客户的用于 Intel Boot Guard 某版本的一个私钥。使用其它密钥的很多其它硬件厂商并不受影响。英特尔的一名发言人提到,“英特尔已注意到这些报告而且正在调查。有研究人员声称私钥包含在包括英特尔 BootGuard MSI OEM 签名密钥的数据中。应当注意的是,英特尔 BootGuard OEM 密钥由系统制造商生成,并非英特尔的签名密钥。”
进一步的访问权限
英特尔 Boot Guard 内建于现代英特尔硬件中,旨在阻止恶意固件以 UEFI bootkit 等形式进行加载。该恶意软件位于内嵌在模板的硅中,非常难以甚至是不可能被检测到,而且是在计算机每次启动时执行的第一个程序。UEFI 感染可导致恶意软件在操作系统运行前加载,很可能绕过并躲避安全端点防护措施。
同时拥有这两种密钥进一步加重了最坏场景中的威胁。NCSC 在本周三发布的一份安全公告中解释称,“英特尔 Boot Guard 是由英特尔研发的技术,用于验证主板的固件已在系统启动流程中得到数字化签名。MSI 的英特尔 Boot Guard 密钥以及固件密钥的泄露可使攻击者自签名恶意固件。具有对易受攻击系统(原则上是本地)权限的攻击者随后可安装并运行该固件。这就使得攻击者对系统具有更进一步的访问权限,绕过所有的安全措施。例如,攻击者获得对系统上所存储数据的访问权限,或者能够利用该权限执行更多攻击。芯片厂商英特尔已通知 NCSC 称,被泄露的私钥仅针对 MSI,因此仅用于 MSI 系统。然而,MSI 主板可能集成到了其它厂商的产品中。因此,滥用被泄密钥可能也发生在这些系统上。查看‘可能的解决方案’,获取更多受影响系统的详细信息。”
目前,使用受影响硬件的用户(目前来看仅限于 MSI 客户或分销 MSI 硬件的第三方)应当额外警惕任何固件更新,即使它们已被合法签名。
OilRig APT 组织或在中东地区发动更多 IT 供应链攻击
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响
https://arstechnica.com/information-technology/2023/05/leak-of-msi-uefi-signing-keys-stokes-concerns-of-doomsday-supply-chain-attack/
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。