一位研究人員表示,一起針對硬件制造商微星(MSI)的勒索軟件入侵引發了人們對毀滅性供應鏈攻擊的擔憂。這種攻擊可能會注入惡意更新,而這些更新已使用受大量最終用戶設備信任的公司簽名密鑰進行簽名。
安全公司 Binarly 的首席執行官、研究主管兼創始人 Alex Matrosov 在接受采訪時說:" 這有點像世界末日的場景,很難同時更新衆多設備,它們會在一段時間内保持非最新狀态,會使用舊密鑰來驗證身份。這個問題很難解決,我認爲微星沒有任何後備方案來實際阻止洩露的密鑰。"
洩露的密鑰 + 未吊銷密鑰 = 招緻災難
據 Bleeping Computer 媒體首次報道,入侵事件于 4 月曝光,當時 Money Message 勒索軟件組織的勒索門戶網站将微星列爲新的受害者,并發布了屏幕截圖,聲稱顯示的文件夾含有私密的加密密鑰、源代碼及其他數據。一天後微星發布了一份簡短的公告,稱其 " 部分信息系統遭到了網絡攻擊。" 該公告敦促客戶隻從微星官網獲取更新,對洩露的密鑰隻字未提。
自那以後,Matrosov 分析了暗網上 Money Message 網站上發布的數據。令他震驚的是,這些信息中居然含有兩個私密的加密密鑰。第一個是簽名密鑰,對微星固件更新進行數字簽名,以加密方式證明它們是來自微星的合法更新,而不是來自威脅分子的冒名頂替的惡意更新。
這加大了這種可能性:洩露的密鑰發布的更新可能會在不觸發警告的情況下感染計算機的最底層區域。更爲糟糕的是,微星沒有像戴爾、惠普和許多大牌硬件制造商那樣的一套自動化補丁程序。因此,微星并不提供相同類型的密鑰吊銷功能。
這很糟糕。這種情況并不經常發生。微星需要對這一事件給予高度關注,因爲這裏存在非常嚴重的安全隐患。
更令人擔憂的是,微星迄今爲止一直對此事保持緘默。媒體發電子郵件請求置評,詢問該公司是否計劃向客戶發布指導性建議,公司代表并沒有回複。
在過去的十年中,基于雲的網絡管理服務 SolarWinds 的軟件構建和分發系統在 2019 年遭到了攻擊,這類供應鏈攻擊在一次事件中向數千名用戶發送了惡意攻擊載荷,當時受害者隻是安裝了一個有效簽名的更新,僅此而已。
通過控制用于驗證合法更新的私鑰,名爲 APT29 和 Cozy Bear 的俄羅斯黑客組織(據信隸屬俄羅斯對外情報局)用惡意軟件的第一階段感染了 18000 多個客戶。10 家聯邦機構和大約 100 家私營公司收到了後續階段的攻擊載荷,從而安裝了用于間諜活動的後門。
3 月,電話公司 3CX 披露了其軟件構建系統遭到攻擊,該公司開發的流行 VoIP 軟件被 190 個國家地區的 600000 多家組織使用。據研究人員聲稱,這次入侵背後的黑客爲朝鮮政府效力,闖入 3CX 的系統後向數量不詳的客戶提供惡意更新。
安全公司 Mandiant 後來聲稱,3CX 被攻擊是因針對軟件開發商 Trading Technologies 的供應鏈攻擊而受到感染,3CX 使用了這家公司開發的 X_Trader 金融交易程序。
目前沒有關于針對微星客戶的供應鏈攻擊的報告。獲得破壞軟件構建系統所需的這種控制通常并非易事,需要高超的技能,可能還需要一番運氣。不過,由于微星沒有自動化更新機制或吊銷流程,因此對攻擊者來說門檻可能比較低。
無論難度如何,如果獲得微星用于以加密方式驗證其安裝程序文件真實性的簽名密鑰,都會大大減少成功策劃有效供應鏈攻擊所需的精力和資源。
Matrosov 說:" 最糟糕的場景是,攻擊者不僅可以獲得密鑰,還可以使用這些密鑰來分發該惡意更新。"
總部位于荷蘭的國家網絡安全中心(NCSC)在一份公告中并未排除這種可能性。
NCSC 的工作人員寫道:" 由于成功的濫用在技術上很複雜,原則上需要本地訪問易受攻擊的系統,因此 NCSC 認爲濫用的風險很小。然而,洩露的密鑰将被濫用于針對性攻擊并非不可想象。NCSC 尚未發現任何濫用洩露密鑰的迹象。"
使威脅更加複雜的是,Money Message 黑客還獲得了用于微星分發給其客戶的英特爾 Boot Guard 版本的私密加密密鑰。其他許多硬件制造商使用不受影響的不同密鑰。
英特爾發言人在一封電子郵件中寫道:" 英特爾已獲悉這些報告,正在積極調查。有研究人員聲稱,數據中含有私密簽名密鑰,包括用于英特爾 BootGuard 的微星 OEM 簽名密鑰。值得一提的是,英特爾 BootGuard OEM 密鑰是由這家系統制造商生成的,這些不是英特爾簽名密鑰。"
範圍廣泛的訪問權
英特爾 Boot Guard 内置于現代英特爾硬件中,旨在防止通常加載 UEFI bootkit 這種形式的惡意固件。這種惡意軟件駐留在嵌入到主闆的芯片中,即使并非不可能檢測出來,也很難檢測出來,每次打開計算機時就先執行惡意軟件。UEFI 感染允許在操作系統開始運行之前加載惡意軟件,從而可以繞過保護機制,更隐蔽地躲避安全端點保護。
在最壞的情況下,同時擁有這兩個密鑰會進一步加劇威脅。NCSC 周三的公告中解釋:
" 英特爾 Boot Guard 是英特爾開發的技術。英特爾 Boot Guard 在系統啓動過程中驗證主闆固件是否已由供應商進行數字簽名。微星洩露 Intel Boot Guard 和固件密鑰使攻擊者能夠對惡意固件進行自簽名。(原則上本地)訪問高危系統的攻擊者随後可以安裝并運行該固件。
這爲攻擊者提供了影響廣泛的訪問權以訪問系統,繞過了所有了層層添加的安全措施。比如說,攻擊者獲得了對存儲在系統上的數據的訪問權,或者可以利用該訪問權實施進一步的攻擊。
芯片制造商英特爾已通知 NCSC,洩露的私鑰是微星專用的,因此隻能用于微星系統。然而,微星主闆可能會集成到其他供應商的産品中。因此,濫用洩露的密鑰也可能發生在這些系統上。"
目前,使用受影響硬件的人迄今爲止似乎僅限于微星客戶或轉售微星硬件的第三方,他們
應格外警惕任何固件更新,即使更新已經過有效簽名。
