微星UEFI签名密钥泄露引发“末日”供应链攻击恐慌

news2024/12/23 23:23:00

 

对硬件制造商微星Micro-Star International(更广为人知的名称是 MSI)的勒索软件入侵引发了人们对毁灭性供应链攻击的担忧,这些攻击可能会注入恶意更新,这些更新已使用受大量最终用户设备信任的公司签名密钥进行签名。

这有点像世界末日的场景,很难同时更新设备,它们会在一段时间内保持最新状态,并将使用旧密钥进行身份验证,这个问题很难解决,我们认为 MSI 没有任何备份解决方案来真正阻止泄露的密钥。

据媒体首次报道,入侵事件于 4 月曝光,Money Message 勒索软件组织的勒索门户将 MSI 列为新的受害者,并发布了声称显示包含私人加密密钥、源代码和其他数据的文件夹的屏幕截图。

一天后,MSI 发布了一份简短的公告,称其部分信息系统遭受了网络攻击。该公告敦促客户仅从 MSI 网站获取更新。它没有提到泄露的密钥。

从那以后,Matrosov 分析了暗网上 Money Message 网站上发布的数据。令他震惊的是,宝藏中包含两个私人加密密钥。第一个是签名密钥,它对 MSI 固件更新进行数字签名,以加密方式证明它们是来自 MSI 的合法更新,而不是来自威胁行为者的恶意冒名顶替者。

这增加了泄漏密钥可能推出更新的可能性,这些更新会在不触发警告的情况下感染计算机的最底层区域。

更糟糕的是,MSI 没有像戴尔、惠普和许多更大的硬件制造商那样的自动修补程序。因此,MSI 不提供相同类型的密钥撤销功能。

这很糟糕。这种情况并不经常发生,需要对这一事件给予高度关注,因为这里存在非常严重的安全隐患。

更令人担忧的是,MSI 迄今为止一直对此事保持沉默。

在过去的十年中,供应链攻击在一次事件中向数千名用户发送了恶意有效载荷,当时受害者除了安装有效签名的更新外什么也没做,在 2019 年 SolarWinds 的软件构建和分发系统遭到破坏,这是一个云-基于网络管理服务。

通过控制用于证明合法更新的私钥,被称为 APT29 和 Cozy Bear 的克里姆林宫支持的黑客组织(据信是俄罗斯外国情报局的一部分)用第一阶段的恶意软件感染了 18000 多名客户。

十个联邦机构和大约 100 家私营公司收到了后续有效载荷,这些有效载荷安装了用于间谍活动的后门。

3 月,电话公司 3CX 披露了 其构建系统遭到破坏的情况,该公司生产的流行 VoIP 软件被 190 个国家地区的 60万多家组织使用。

据研究人员称,这次入侵背后的黑客代表朝鲜政府工作,利用他们的立足点向数量不详的客户提供恶意更新。

安全公司 Mandiant 后来报告说,3CX 的妥协是由于它通过对软件开发商 Trading Technologies 的供应链攻击而受到感染,Trading Technologies 是 3CX 使用的 X_Trader 金融交易程序的制造商。

没有任何针对 MSI 客户的供应链攻击的报告。获得破坏软件构建系统所需的那种控制通常是一件非常重要的事情,需要大量的技巧,可能还需要一些运气。由于 MSI 没有自动更新机制或撤销过程,因此门槛可能会更低。

无论遇到什么困难,拥有 MSI 用于以加密方式验证其安装程序文件真实性的签名密钥都会显着降低发起有效供应链攻击所需的工作量和资源。

最糟糕的情况是,如果攻击者不仅可以访问密钥,还可以使用这些密钥分发此恶意更新。

在一份咨询中,总部位于荷兰的国家网络安全中心并未排除这种可能性。

由于成功的滥用在技术上很复杂,原则上需要在本地访问易受攻击的系统,因此 NCSC(英国国家网络安全中心) 认为滥用的风险很小,NCSC 官员写道。

但是,泄漏的密钥将被滥用于有针对性的攻击并非不可想象。NCSC 尚未发现任何滥用泄露密钥材料的迹象。

使威胁更加复杂的是,Money Message 黑客还获得了用于 MSI 分发给其客户的 Intel Boot Guard 版本的私有加密密钥。许多其他硬件制造商使用不受影响的不同密钥。

英特尔发言人在一封电子邮件中写道:

英特尔了解这些报告并正在积极调查。有研究人员声称,私有签名密钥包含在数据中,包括用于 Intel BootGuard 的 MSI OEM 签名密钥。需要注意的是,Intel BootGuard OEM 密钥是由系统制造商生成的,这些不是 Intel 签名密钥。

Intel Boot Guard 内置于现代 Intel 硬件中,旨在防止通常以 UEFI bootkit 形式加载恶意固件。这种恶意软件驻留在嵌入主板的硅中,即使不是不可能也很难检测到,并且是每次打开计算机时首先执行的操作。

UEFI 感染允许在操作系统开始运行之前加载恶意软件,从而可以绕过保护并更好地躲避安全端点保护。

在最坏的情况下,同时拥有这两个密钥会进一步加剧威胁。NCSC 周三的咨询解释说:

Intel Boot Guard 是 Intel 开发的技术。Intel Boot Guard 会在系统启动过程中验证主板固件是否已由供应商进行数字签名。MSI 的 Intel Boot Guard 和固件密钥的泄漏使攻击者能够对恶意固件进行自签名。可以(原则上在本地)访问易受攻击系统的攻击者可以安装并运行此固件。

这为攻击者提供了对系统的深远访问权限,绕过了所有覆盖的安全措施。例如,攻击者获得了对存储在系统上的数据的访问权限,或者可以使用该访问权限进行进一步的攻击。

芯片制造商英特尔已通知 NCSC,泄露的私钥是 MSI 专用的,因此只能用于 MSI 系统。

但是,MSI 主板可能会集成到其他供应商的产品中。

因此,滥用泄露的密钥也可能发生在这些系统上。

目前,使用受影响硬件的人,到目前为止似乎仅限于 MSI 客户或可能转售 MSI 硬件的第三方。

应该格外警惕任何固件更新,即使它们已经过有效签名。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/542686.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

chatgpt赋能Python-python3_7怎么更新

Python3.7如何更新? 对于拥有10年Python编程经验的工程师来说,更新Python版本是必不可少的。现在最新版本的Python是3.7,那么这个版本应该如何更新呢? 更新步骤 下载Python3.7安装包 在Python官网上下载即可。如果你使用的是L…

Cube Map 系列之:手把手教你 实现 立方体贴图

什么是Cube Map 在开始立方体贴图之前,我们先简单了解下cube map。 cube map 包含了六个纹理,分别表示了立方体的六个面; 相较二维的纹理使用坐标uv来获取纹理信息,这里我们需要使用三维的方向向量来获取纹理信息(一…

力扣---LeetCode20. 有效的括号(栈)

文章目录 前言🌟一、20. 有效的括号🌟二、链接🌟三、方法:栈实现🌏3.1思路:🌏3.2代码: 🌟四、补充:😽总结 前言 👧个人主页&#xff1…

springboot+java高校教师学术成果管理系统-idea

功能介绍项目介绍Spring框架是Java平台的一个开放源代码的Full-stack(全栈)应用程序框架,和控制翻转容器的实现。Spring框架的一些核心功能理论,可以用于所有Java应用,Spring还为Java EE构建的Web应用提供大量的扩展支持。Spring框架没有实现…

python使用基础 pycharm代码的git同步

我们大家在编写代码的时候经常会遇到各种版本的控制问题。为此版本控制工具是每一个编写代码的同志均需要面临的问题。目前,业内已经有非常成熟的解决方案,比如我们常说的github、gitee等。由于国内网络原因,本文以gitee为例进行使用说明。 1…

基于SpringCloud的分布式网上商城的设计与实现

背景 经过网上调查和搜集数据,我们可以发现商城管理方面的系统并不是相当普及,在分布式架构商城管理方面的可以有许多改进。实际上如今信息化成为一个未来的趋势或者可以说在当前现代化的城市典范中,信息化已经成为主流,开发一个分布式架构网上商城系统一方面的可能会更合乎时…

chatgpt赋能Python-python3_7怎么安装pil

如何在Python3.7中安装PIL? Python3.7是一种流行的编程语言,广泛应用于机器学习、Web开发、数据科学等领域。PIL(Python Imaging Library)是一种Python图像处理库,它提供了丰富的图像处理功能,能够对图像进行缩放、旋转、裁剪等操…

chatgpt赋能Python-python3_8怎么调成黑色背景

如何将Python3.8调整为黑色背景 Python是一种高级编程语言,常用于开发Web应用程序和科学计算。Python3.8是其最新的版本,随着其市场份额的增加,越来越多的程序员对其进行学习和使用。对于那些想要使他们的编程环境更加现代化和个性化的程序员…

060:cesium设置网格Grid材质

第060个 点击查看专栏目录 本示例的目的是介绍如何在vue+cesium中设置网格材质,请参考源代码,了解GridMaterialProperty的应用。 直接复制下面的 vue+cesium源代码,操作2分钟即可运行实现效果. 文章目录 示例效果配置方式示例源代码(共93行)相关API参考:专栏目标示例效…

挂机宝搭建教程

nokvm主控面板推荐操作系统版本 Centos7.6.1810 (纯净的操作系统,无其他软件环境) 主控面板硬件要求配置: - 最低要求 推荐配置 内存 2G 2G CPU - - 带宽 不低于2M 2M 磁盘 / 分区不少于100GB 100GB 主控面板安装&#xff1…

关于shrio的动态授权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、关于表的搭建1.表介绍二、配置shiroFilterFactoryBean 的权限访问三、配置doGetAuthorizationInfo的授权信息前言 其实一开始的写过一次关于shrio的动态授权但是那个是单表实现的不是特别完…

chatgpt赋能Python-python3_9_1怎么安装

Python 3.9.1 安装指南 介绍 Python是一种高级编程语言,具有简洁、易读、易学、可扩展等特点。它是一种面向对象的编程语言,支持多种编程范式,如面向过程编程、函数式编程、面向对象编程等,也支持各种不同的编程领域&#xff0c…

26-jQuery-概述和下载使用

一、什么是 jQuery? jQuery 是一款流行的 JavaScript 框架,被广泛应用于 Web 开发中。它简化了 DOM 操作、事件处理、动画效果等常见任务,提供了丰富的 API 和插件,让开发者能够快速地实现各种功能。jQuery设计的宗旨是"wri…

6G 第六代移动通信和sub6G第五代移动通信的中低频段

“ 6G:第六代移动通信,概念被炒得火热,却一直不冷不热, 受限于功率和传输距离等,很难落地。” “ sub6G:第五代移动通信的中低频段,虽然已部署了很多, 却受限于功耗、成本、杀手级…

使用Keras构建分类问题的MLP神经网络——用于糖尿病预测

大家好,我是带我去滑雪! Keras 是一个用于构建和训练深度学习模型的高级 API,它基于 Python编写,并能够运行于 TensorFlow, CNTK, 或者 Theano 等深度学习框架之上。Keras简化了深度神经网络的构建流程,让用户能够更加…

基于Springboot的漫画网站

开发技术介绍 B/S架构 B/S结构是目前使用最多的结构模式,它可以使得系统的开发更加的简单,好操作,而且还可以对其进行维护。使用该结构时只需要在计算机中安装数据库,和一些很常用的浏览器就可以了。浏览器就会与数据库进行信息…

chatgpt赋能Python-python3_7_2怎么安装

Python 3.7.2 安装指南 Python 是一种广泛使用的计算机编程语言,在科学计算、数据处理、网络编程、人工智能等领域都有广泛应用。而 Python 3.7.2 是 Python 3 系列的一个重要版本。在本文中,我们将介绍如何在各种操作系统上安装 Python 3.7.2。 安装步…

chatgpt赋能Python-python3_8降到3_7

Python 3.8降级到3.7:这是否是一个明智的决策? Python 3.8是Python语言的最新版本,拥有许多显著的改进和新功能。然而,许多开发者们发现3.8版本并非适用于每个项目,因此他们可能会想要降级回Python 3.7。本文将探讨降…

5.19黄金持续下跌能否抄底做多?后市如何布局

近期有哪些消息面影响黄金走势?今日黄金多空该如何研判? ​黄金消息面解析:周四(5月18日),美市盘中,现货黄金价格跌创4月21日以来新低至1952.01美元/盎司,迹象表明华府和国会可能就提高美国债务上限达成协…

使用CGImageRef创建图片及实现图片区域裁剪(附源码)

一 CGImageRef和UIImage的互相转化 CGImageRef 是一个结构体指针,通过CGImageRef可以获得UIImage的所有参数,比如像素宽高、颜色通道位深、像素点位深、像素点字节排列及读取顺序等信息,CGImageRef与UIImage的互相转化如下: UII…