一位研究人员表示,一起针对硬件制造商微星(MSI)的勒索软件入侵引发了人们对毁灭性供应链攻击的担忧。这种攻击可能会注入恶意更新,而这些更新已使用受大量最终用户设备信任的公司签名密钥进行签名。
安全公司Binarly的首席执行官、研究主管兼创始人Alex Matrosov在接受采访时说:“这有点像世界末日的场景,很难同时更新众多设备,它们会在一段时间内保持非最新状态,会使用旧密钥来验证身份。这个问题很难解决,我认为微星没有任何后备方案来实际阻止泄露的密钥。”
泄露的密钥+未吊销密钥=招致灾难
据Bleeping Computer媒体首次报道,入侵事件于 4 月曝光,当时Money Message 勒索软件组织的勒索门户网站将微星列为新的受害者,并发布了屏幕截图,声称显示的文件夹含有私密的加密密钥、源代码及其他数据。一天后微星发布了一份简短的公告,称其“部分信息系统遭到了网络攻击。”该公告敦促客户只从微星官网获取更新,对泄露的密钥只字未提。
自那以后,Matrosov分析了暗网上Money Message网站上发布的数据。令他震惊的是,这些信息中居然含有两个私密的加密密钥。第一个是签名密钥,对微星固件更新进行数字签名,以加密方式证明它们是来自微星的合法更新,而不是来自威胁分子的冒名顶替的恶意更新。
这加大了这种可能性:泄露的密钥发布的更新可能会在不触发警告的情况下感染计算机的最底层区域。更为糟糕的是,微星没有像戴尔、惠普和许多大牌硬件制造商那样的一套自动化补丁程序。因此,微星并不提供相同类型的密钥吊销功能。
这很糟糕。这种情况并不经常发生。微星需要对这一事件给予高度关注,因为这里存在非常严重的安全隐患。
更令人担忧的是,微星迄今为止一直对此事保持缄默。媒体发电子邮件请求置评,询问该公司是否计划向客户发布指导性建议,公司代表并没有回复。
在过去的十年中,基于云的网络管理服务SolarWinds的软件构建和分发系统在2019年遭到了攻击,这类供应链攻击在一次事件中向数千名用户发送了恶意攻击载荷,当时受害者只是安装了一个有效签名的更新,仅此而已。
通过控制用于验证合法更新的私钥,名为APT29和Cozy Bear 的俄罗斯黑客组织(据信隶属俄罗斯对外情报局)用恶意软件的第一阶段感染了18000多个客户。10家联邦机构和大约 100家私营公司收到了后续阶段的攻击载荷,从而安装了用于间谍活动的后门。
3月,电话公司3CX披露了其软件构建系统遭到攻击,该公司开发的流行VoIP软件被190个国家地区的600000多家组织使用。据研究人员声称,这次入侵背后的黑客为朝鲜政府效力,闯入3CX的系统后向数量不详的客户提供恶意更新。
安全公司Mandiant后来声称,3CX 被攻击是因针对软件开发商Trading Technologies的供应链攻击而受到感染,3CX使用了这家公司开发的X_Trader 金融交易程序。
目前没有关于针对微星客户的供应链攻击的报告。获得破坏软件构建系统所需的这种控制通常并非易事,需要高超的技能,可能还需要一番运气。不过,由于微星没有自动化更新机制或吊销流程,因此对攻击者来说门槛可能比较低。
无论难度如何,如果获得微星用于以加密方式验证其安装程序文件真实性的签名密钥,都会大大减少成功策划有效供应链攻击所需的精力和资源。
Matrosov说:“最糟糕的场景是,攻击者不仅可以获得密钥,还可以使用这些密钥来分发该恶意更新。”
总部位于荷兰的国家网络安全中心(NCSC)在一份公告中并未排除这种可能性。
NCSC的工作人员写道:“由于成功的滥用在技术上很复杂,原则上需要本地访问易受攻击的系统,因此NCSC认为滥用的风险很小。然而,泄露的密钥将被滥用于针对性攻击并非不可想象。NCSC尚未发现任何滥用泄露密钥的迹象。”
使威胁更加复杂的是,Money Message黑客还获得了用于微星分发给其客户的英特尔Boot Guard版本的私密加密密钥。其他许多硬件制造商使用不受影响的不同密钥。
英特尔发言人在一封电子邮件中写道:“英特尔已获悉这些报告,正在积极调查。有研究人员声称,数据中含有私密签名密钥,包括用于英特尔BootGuard的微星OEM签名密钥。值得一提的是,英特尔BootGuard OEM密钥是由这家系统制造商生成的,这些不是英特尔签名密钥。”
范围广泛的访问权
英特尔Boot Guard内置于现代英特尔硬件中,旨在防止通常加载UEFI bootkit这种形式的恶意固件。这种恶意软件驻留在嵌入到主板的芯片中,即使并非不可能检测出来,也很难检测出来,每次打开计算机时就先执行恶意软件。UEFI感染允许在操作系统开始运行之前加载恶意软件,从而可以绕过保护机制,更隐蔽地躲避安全端点保护。
在最坏的情况下,同时拥有这两个密钥会进一步加剧威胁。NCSC 周三的公告中解释:
“英特尔Boot Guard是英特尔开发的技术。英特尔Boot Guard在系统启动过程中验证主板固件是否已由供应商进行数字签名。微星泄露Intel Boot Guard和固件密钥使攻击者能够对恶意固件进行自签名。(原则上本地)访问高危系统的攻击者随后可以安装并运行该固件。
这为攻击者提供了影响广泛的访问权以访问系统,绕过了所有了层层添加的安全措施。比如说,攻击者获得了对存储在系统上的数据的访问权,或者可以利用该访问权实施进一步的攻击。
芯片制造商英特尔已通知NCSC,泄露的私钥是微星专用的,因此只能用于微星系统。然而,微星主板可能会集成到其他供应商的产品中。因此,滥用泄露的密钥也可能发生在这些系统上。”
目前,使用受影响硬件的人迄今为止似乎仅限于微星客户或转售微星硬件的第三方,他们
应格外警惕任何固件更新,即使更新已经过有效签名。
参考及来源:https://arstechnica.com/information-technology/2023/05/leak-of-msi-uefi-signing-keys-stokes-concerns-of-doomsday-supply-chain-attack/