Det potentielle læk fra MSI Gaming af signering af nøgler til en vigtig sikkerhedsfunktion i Intel-baseret firmware kan kaste en skygge på firmwaresikkerheden i de kommende år og efterlade enheder, der bruger nøglerne meget sårbare til cyberangreb, siger sikkerhedseksperter.
Intel er stadig "aktivt efterforsker" en påstået lækage af Intel Boot Guard private nøgler til 116 MSI-produkter, fortalte virksomheden til Dark Reading. Undersøgelsen kommer efter en påstand fra Alex Matrosov, administrerende direktør for firmwareforsyningskædesikkerhedsplatformen Binarly, der lækkede kildekode fra en marts 2023 cyberangreb på MSI omfatter disse data samt billedsignering af private nøgler til 57 MSI-produkter.
"Bekræftet, Intel OEM OEM privat nøgle lækket, hvilket forårsagede en indvirkning på hele økosystemet. Det ser ud til, at Intel BootGuard muligvis ikke er effektiv på visse enheder baseret på 11. Tiger Lake, 12. Adler Lake og 13. Raptor Lake” processorer, han tweeted.
Det påståede læk kommer omkring en måned efter, at en ny ransomware-bande blev sporet som "Money Message" ramte Taiwan-baserede MSI med et dobbelt afpresning ransomware-angreb, der hævder at have stjålet 1.5 TB data under angrebet, inklusive firmware, kildekode og databaser.
Da den løsesum på $4 millioner, som gruppen krævede, ikke blev betalt, begyndte angriberne at poste data stjålet i angrebet på deres lækagested. I sidste uge dukkede MSI's stjålne data – inklusive kildekode til firmware brugt af virksomhedens bundkort – op på det websted.
Hvorfor det drejer sig om
Intel Boot Guard er en hardwarebaseret sikkerhedsteknologi rettet mod at beskytte computere mod at udføre manipuleret, ikke-ægte Unified Extensible Firmware Interface (UEFI) firmware, "hvilket kunne ske, hvis en mulig angriber har omgået beskyttelse mod ændring af BIOS," forklarede Binarly efiXplorer Team i et blog-indlæg offentliggjort i november sidste år.
Det indlæg kom som svar på en Oktober-lækage af UEFI BIOS af Alder Lake, Intels kodenavn for dens seneste processor, samt de nøglepar, der kræves af Boot Guard under klargøringsfasen.
Hvis trusselsaktører får fat i de MSI-relaterede Intel Boot Guard-signeringsnøgler, kan de potentielt indlæse sårbar firmware på berørte enheder - som inkluderer MSI-bundkort - der ser ud til at være signeret af leverandøren og dermed legitime.
Desuden kører BIOS'en selv før en enheds OS, hvilket betyder, at den sårbare kode er til stede på det mest basale enhedsniveau og dermed svær at patche eller forsvare sig imod, hvilket komplicerer scenariet endnu mere, bemærker en sikkerhedsekspert.
"På grund af arten af, hvordan disse nøgler er indlejret og brugt, er det sædvanlige råd om at installere sikkerhedsrettelser muligvis ikke muligt," Darren Guccione, CEO og medstifter af cybersikkerhedssoftwarefirmaet Keeper Security, sagde i en mail til Dark Reading.
For at afhjælpe problemet ville sikkerhedsteams potentielt skulle implementere "ikke-standardkontroller for at overvåge for brud, hvis malware begynder at bruge disse nøgler," bemærker han. "Uden en simpel sikkerhedsløsning kan dette være en skadelig angrebsvektor på lang sigt," siger Guccione.
Future Firmware Woes
Faktisk er det langsigtet, der bekymrer sikkerhedseksperter om lækagen. De siger, at det er sandsynligt, at trusselsaktører ville kaste sig ud i tilgængeligheden af Intel Boot Guard-signeringsnøglerne, hvilket udgør et stort firmwaresikkerhedsproblem i de kommende år.
"At stjæle signeringsnøgler, især til noget, der kun kan opdateres i firmware (hvilket betyder, at få mennesker vil gøre det), medfører normalt en lang hale af hændelser år efter afsløringen," advarede John Bambenek, hovedtrusselsjæger hos Netenrich, et SaaS-firma for sikkerheds- og driftsanalyse.
Hans kommentar bringer en god pointe frem: den iboende sårbarhed af forældet enhedsfirmware, som ofte bliver overset i patch-cyklusser og således, hvis den er sårbar, repræsenterer en stor og farlig angrebsflade, bemærker Matt Mullins, senior sikkerhedsforsker hos Cybrary.
"I betragtning af, at de fleste mennesker ikke anvender patches til UEFI eller firmware generelt, vil de berørte personer sandsynligvis ikke vide, hvordan de skal patche disse enheder korrekt," siger han. "Den adgang, der gives til ondsindede aktører i forbindelse med dette, er på nogle måder værre end at få et SYSTEM eller en rodskal."
Dette skyldes, at med adgang til signeringsnøglerne vil systembeskyttelse som driversignaturer eller detektering af ondsindet aktivitet på kerneniveau eller derunder "i det væsentlige være ugyldig, fordi det ondsindede bootkit kan indlæses før/under det," siger Mullins.
"Ved at indlæse under det, kan den kapere eller omgå vigtige processer forbundet med enhedsintegritet (såsom I/O-operationer) og effektivt gøre sig selv permanent uden den passende flash og genindlæsning af firmware," siger han.
Beskyttelse af firmware
Selvom situationen kan virke alvorlig, forsøgte en sikkerhedsekspert at dæmpe frygten, der er dukket op i forbindelse med nyheder om lækagen ved at bemærke, at den overordnede trussel mod berørte MSI-enheder "er relativt lav på grund af de trin, en trusselsaktør skal igennem" til udnytte nøglerne.
"Som en kontrast skal du overveje IoT/OT-enheder, som ofte mangler digitale signaturer til firmware og eksisterer i en massivt højere skala end MSI-enheder," siger Bud Broomhead, CEO hos Viakoo, en udbyder af automatiseret IoT-cyberhygiejne.
Når det er sagt, er der måder at afbøde eller forsvare sig mod eventuelle risici fra hændelsen, siger eksperter.
En god start er at sikre, at du har en pålidelig proces for alle digitale aktiver inklusive IoT/OT, siger Broomhead. I mellemtiden skulle brug af andre former for beskyttelse, såsom overvågning og netværksadgangskontrol, hjælpe med at forhindre udnyttelse af de lækkede nøgler "for at forårsage en meget større udnyttelse," tilføjer han.
Den seneste lækage skulle også tjene som en påmindelse til organisationer om, at firmware og andre private nøgler bør holdes adskilt fra kode så meget som muligt for at mindske risikoen for tyveri, bemærker Bambenek.
Andre begrænsninger, som organisationer kan tage for at forsvare sig mod firmwareangreb, inkluderer den åbenlyse anvendelse af patches, selvom de ofte overses, "er primært det bedste forsvar mod dette potentielle fremtidige angreb," siger Mullins.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
- Kilde: https://www.darkreading.com/attacks-breaches/leak-of-intel-boot-guard-keys-could-have-security-repercussions-for-years
- :har
- :er
- :ikke
- $OP
- 1
- 116
- 2023
- 7
- a
- Om
- adgang
- aktivt
- aktivitet
- aktører
- Tilføjer
- rådgivning
- Efter
- mod
- Rettet
- alex
- Alle
- påståede
- også
- an
- analytics
- ,
- enhver
- vises
- kommer til syne
- Anvendelse
- Indløs
- passende
- passende
- ER
- AS
- Aktiver
- forbundet
- At
- angribe
- Angreb
- Automatiseret
- tilgængelighed
- baseret
- grundlæggende
- BE
- fordi
- før
- begyndte
- jf. nedenstående
- BEDSTE
- BleepingComputer
- Blog
- brud
- Bringer
- by
- kom
- CAN
- tilfælde
- Årsag
- forårsager
- Direktør
- vis
- kæde
- krav
- hævder
- Medstifter
- kode
- Kom
- kommer
- KOMMENTAR
- selskab
- computere
- BEKRÆFTET
- Overvej
- Overvejer
- kontrast
- kontrol
- kontrol
- kunne
- Cyber
- Cyber angreb
- cyberangreb
- Cybersecurity
- cykler
- beskadige
- Dangerous
- mørk
- Mørk læsning
- Darren
- data
- databaser
- Forsvar
- forlangte
- enhed
- Enheder
- svært
- digital
- Digitale aktiver
- dire
- videregivelse
- do
- fordoble
- driver
- grund
- i løbet af
- økosystem
- Effektiv
- effektivt
- indlejret
- smergel
- sikre
- Hele
- især
- Essensen
- Endog
- udførelse
- eksisterer
- ekspert
- eksperter
- forklarede
- Exploit
- udnyttelse
- afpresning
- frygt
- Feature
- få
- Firm
- Blink
- Til
- formularer
- fra
- yderligere
- fremtiden
- spil
- Bande
- Generelt
- få
- få
- Go
- godt
- gruppe
- Guard
- ske
- Have
- he
- hjælpe
- højere
- hijack
- hold
- Hvordan
- HTML
- HTTPS
- if
- KIMOs Succeshistorier
- påvirket
- gennemføre
- vigtigt
- in
- hændelse
- omfatter
- omfatter
- Herunder
- enkeltpersoner
- iboende
- installation
- integritet
- Intel
- grænseflade
- undersøgelse
- tingenes internet
- spørgsmål
- IT
- ITS
- selv
- John
- jpg
- holdt
- Nøgle
- nøgler
- Kend
- Mangel
- sø
- stor
- større
- Efternavn
- seneste
- lække
- Forlade
- legitim
- Niveau
- ligesom
- Sandsynlig
- belastning
- lastning
- Lang
- Lav
- større
- malware
- massivt
- Kan..
- midler
- I mellemtiden
- besked
- million
- afbøde
- penge
- Overvåg
- overvågning
- Måned
- mest
- msi
- meget
- navn
- Natur
- Behov
- netværk
- nyheder
- Noter
- november
- Obvious
- oktober
- of
- tit
- on
- ONE
- kun
- Produktion
- or
- organisationer
- OS
- Andet
- i løbet af
- samlet
- betalt
- par
- patch
- Patches
- lappe
- Mennesker
- permanent
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- mulig
- Indlæg
- potentiale
- potentielt
- præsentere
- forhindre
- primært
- Main
- private
- private nøgle
- Private nøgler
- sandsynligvis
- Problem
- behandle
- Processor
- processorer
- Produkter
- beskytte
- beskyttelse
- forudsat
- udbyder
- offentliggjort
- Ransom
- ransomware
- Ransomware angreb
- Læsning
- betragte
- relativt
- konsekvenser
- repræsenterer
- påkrævet
- forsker
- svar
- Risiko
- risici
- rod
- s
- SaaS
- Said
- siger
- siger
- Scale
- scenarie
- sikkerhed
- synes
- senior
- adskille
- tjener
- Shadow
- Shell
- bør
- Underskrifter
- underskrevet
- signering
- Simpelt
- websted
- Situationen
- Software
- løsninger
- nogle
- noget
- Kilde
- kildekode
- Stage
- starte
- starter
- Steps
- Stadig
- stjålet
- sådan
- forsyne
- forsyningskæde
- overflade
- systemet
- Tag
- hold
- hold
- end
- at
- tyveri
- deres
- Der.
- Disse
- de
- denne
- trussel
- trusselsaktører
- Gennem
- Tiger
- til
- forsøgte
- betroet
- forenet
- opdateret
- brug
- anvendte
- ved brug af
- sædvanligvis
- sælger
- sårbarhed
- Sårbar
- var
- måder
- uge
- GODT
- Hvad
- som
- mens
- vilje
- med
- uden
- værre
- ville
- år
- Du
- zephyrnet
