Az Intel Boot Guard kulcsok kiszivárgása évekig biztonsági következményekkel járhat

Az Intel-alapú firmware egyik fontos biztonsági funkciójához tartozó aláírási kulcsok esetleges kiszivárgása az MSI Gamingtől évekig árnyékot vethet a firmware biztonságára, és elhagyhatja a kulcsokat használó eszközöket. rendkívül sérülékeny a kibertámadásokra – állítják biztonsági szakértők.

Az Intel továbbra is „aktívan vizsgálja” az Intel Boot Guard privát kulcsainak állítólagos kiszivárgását 116 MSI-termékhez – közölte a vállalat a Dark Readinggel. A nyomozás Alex Matrosov, a Binarly firmware ellátási lánc biztonsági platform vezérigazgatójának állítása után indult ki, amely szerint forráskódot szivárogtattak ki egy 2023. márciusi kibertámadás az MSI ellen tartalmazza ezeket az adatokat, valamint 57 MSI-termék képaláíró privát kulcsát.

„Megerősítve, az Intel OEM privát kulcsa kiszivárgott, ami hatással volt az egész ökoszisztémára. Úgy tűnik, hogy az Intel BootGuard nem hatékony bizonyos eszközökön, amelyek a 11. Tiger Lake, 12. Adler Lake és 13. Raptor Lake processzorokon alapulnak, ő tweetelt.

Az állítólagos szivárgás körülbelül egy hónappal azután történt, hogy egy feltörekvő ransomware banda „Money Message” néven nyomon követhető. elérte a tajvani székhelyű MSI-t kettős zsaroló ransomware támadással, azt állítva, hogy a támadás során 1.5 TB adatot loptak el, beleértve a firmware-t, a forráskódot és az adatbázisokat.

Amikor a csoport által követelt 4 millió dolláros váltságdíjat nem fizették ki, a támadók elkezdték közzétenni a támadás során ellopott adatokat a kiszivárogtatott oldalukon. A múlt héten az MSI ellopott adatai – köztük a cég alaplapjain használt firmware forráskódja – kerültek elő ezen az oldalon.

Miért számít?

Az Intel Boot Guard egy hardver alapú biztonsági technológia célja, hogy megvédje a számítógépeket a manipulált, nem eredeti Unified Extensible Firmware Interface (UEFI) firmware-ek végrehajtásától, „ami akkor történhet meg, ha egy esetleges támadó megkerüli a BIOS módosítása elleni védelmet” – magyarázta a Binarly efiXplorer Team. egy blogbejegyzés tavaly novemberben jelent meg.

Ez a bejegyzés válaszként érkezett egy Az Alder Lake UEFI BIOS-ának októberi szivárgása, az Intel kódneve a legújabb processzorához, valamint a Boot Guard által a kiépítési szakaszban szükséges kulcspárok.

Ha a fenyegetés szereplői megkapják az MSI-vel kapcsolatos Intel Boot Guard aláíró kulcsokat, akkor valószínűleg betölthetik sebezhető firmware az érintett eszközökre – köztük MSI-alaplapokra –, amelyeket úgy tűnik, hogy a gyártó aláírt, és így legitim.

Sőt, a BIOS még az eszköz operációs rendszere előtt is fut, ami azt jelenti, hogy a sebezhető kód a legalapvetőbb eszközszinten jelen van, így nehéz javítani vagy védekezni ellene, ami még tovább bonyolítja a forgatókönyvet – jegyzi meg egy biztonsági szakértő.

Darren Guccione, a kiberbiztonsági szoftvercég vezérigazgatója és társalapítója: „A kulcsok beágyazásának és használatának természetéből adódóan előfordulhat, hogy a biztonsági javítások telepítésének szokásos tanácsa nem lehetséges. Keeper Security, mondta a Dark Readingnek küldött e-mailben.

A probléma orvoslása érdekében a biztonsági csapatoknak „nem szabványos ellenőrzéseket kellene bevezetniük a jogsértések megfigyelésére, ha a rosszindulatú programok elkezdik használni ezeket a kulcsokat” – jegyzi meg. „Egyszerű biztonsági megoldás nélkül ez hosszú távon káros támadási vektor lehet” – mondja Guccione.

Jövőbeli firmware-gondok

Valójában a hosszú táv az, ami a biztonsági szakértőket aggasztja a szivárgás miatt. Szerintük valószínűleg a fenyegetések szereplői az Intel Boot Guard aláíró kulcsok elérhetőségére támadnának, ami komoly firmware-biztonsági problémát jelent majd az elkövetkező években.

"Az aláíró kulcsok ellopása, különösen olyan dolgok esetében, amelyek csak firmware-ben frissíthetők (ami azt jelenti, hogy kevesen fogják ezt megtenni), általában évekkel a nyilvánosságra hozatal utáni incidensek hosszú sorát vonja maga után" - figyelmeztetett John Bambenek, a fenyegetések fő kutatója. Netenrich, egy biztonsági és műveleti elemző SaaS cég.

Hozzászólása felhoz egy jó pontot: az elavult eszközök firmware-ének eredendő sebezhetősége, amelyet gyakran figyelmen kívül hagynak a javítási ciklusok során, és így, ha sérülékeny, nagy és veszélyes támadási felületet jelent, jegyzi meg Matt Mullins, a Cybrary vezető biztonsági kutatója.

„Tekintettel arra, hogy a legtöbb ember nem alkalmaz javításokat az UEFI-hez vagy általában a firmware-hez, az érintett személyek valószínűleg nem tudják, hogy megfelelően javítsák ezeket az eszközöket” – mondja. "A rosszindulatú szereplők hozzáférése ezzel kapcsolatban bizonyos szempontból rosszabb, mint egy RENDSZER vagy gyökérhéj beszerzése."

Ennek az az oka, hogy az aláíró kulcsokhoz való hozzáféréssel a rendszervédelmek, például az illesztőprogram-aláírások vagy a rosszindulatú tevékenységek észlelése kernel szinten vagy az alatt „lényegében érvénytelenek lesznek, mivel a rosszindulatú indítókészlet ez előtt/alatt is betölthető” – mondja Mullins.

"Ha ez alatti betöltést végez, eltérítheti vagy megkerülheti az eszköz integritásával kapcsolatos fontos folyamatokat (például az I/O műveleteket), és hatékonyan állandósítja magát a firmware megfelelő flash és újratöltése nélkül" - mondja.

Firmware védelme

Bár a helyzet borzasztónak tűnhet, az egyik biztonsági szakértő megpróbálta elfojtani a kiszivárogtatás kapcsán felmerült félelmeket azzal, hogy megjegyezte, hogy az érintett MSI-eszközöket fenyegető általános fenyegetés „viszonylag alacsony, mivel a fenyegetés szereplőinek át kell menniük” kihasználni a kulcsokat.

„Ezzel szemben vegyük fontolóra az IoT/OT eszközöket, amelyek gyakran nem rendelkeznek digitális aláírással a firmware-hez, és sokkal nagyobb méretben léteznek, mint az MSI-eszközök” – mondja Bud Broomhead, a Viakoo, az automatizált IoT kiberhigiéniát szolgáltató vezérigazgatója.

Ennek ellenére vannak módok az incidens kockázatának csökkentésére vagy az ellenük való védekezésre, mondják a szakértők.

A jó kezdet az, ha gondoskodik arról, hogy minden digitális eszközhöz megbízható folyamat legyen, beleértve az IoT/OT-t is, mondja Broomhead. Mindeközben a védelem más formáinak, például a felügyeletnek és a hálózati hozzáférés-szabályozásnak a segítségével meg kell akadályoznia a kiszivárgott kulcsok „sokkal nagyobb kizsákmányolásból” való kihasználását” – teszi hozzá.

A legutóbbi kiszivárogtatás arra is emlékezteti a szervezeteket, hogy a firmware-t és más privát kulcsokat a lopás kockázatának csökkentése érdekében lehetőleg elkülönítve kell tartani a kódtól – jegyzi meg Bambenek.

A szervezetek által a firmware-támadások elleni védekezésben alkalmazott egyéb mérséklések közé tartozik a javítások nyilvánvaló alkalmazása, bár gyakran figyelmen kívül hagyják, „elsősorban ez a legjobb védekezés a lehetséges jövőbeli támadások ellen” – mondja Mullins.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
• A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
• Részvények vásárlása és eladása PRE-IPO társaságokban a PREIPO® segítségével. Hozzáférés itt.
• Forrás: https://www.darkreading.com/attacks-breaches/leak-of-intel-boot-guard-keys-could-have-security-repercussions-for-years