Aurich Lawson
Daha çok MSI olarak bilinen donanım üreticisi Micro-Star International’a bir fidye yazılımı saldırısı, çok sayıda son kullanıcı cihazının güvendiği şirket imzalama anahtarlarıyla imzalanmış kötü amaçlı güncellemeleri enjekte edebilecek yıkıcı tedarik zinciri saldırılarına ilişkin endişeleri artırıyor. dedi bir araştırmacı.
CEO, araştırma başkanı ve kurucu Alex Matrosov, “Cihazları aynı anda güncellemenin çok zor olduğu ve bir süre güncel olmadıkları ve kimlik doğrulama için eski anahtarı kullanacakları bir tür kıyamet günü senaryosu gibi” dedi. güvenlik firması Binarly, bir röportajda söyledi. “Çözmesi çok zor ve MSI’ın sızan anahtarları fiilen engellemek için herhangi bir yedekleme çözümü olduğunu düşünmüyorum.”
Sızan anahtar + iptal yok = felaket tarifi
İzinsiz giriş, Nisan ayında ortaya çıktığında, ilk bildirilen Money Message fidye yazılımı grubunun gasp portalı Bleeping Computer tarafından MSI’yı yeni bir kurban olarak listeledi ve özel şifreleme anahtarları, kaynak kodu ve diğer verileri içeren klasörleri gösterdiği iddia edilen ekran görüntüleri yayınladı. Bir gün sonra MSI bir veciz tavsiye “bilgi sistemlerinin bir kısmında siber saldırıya uğradığını” söyledi. Danışma belgesi, müşterileri güncellemeleri yalnızca MSI web sitesinden almaya çağırdı. Sızan anahtarlardan hiç bahsetmedi.
O zamandan beri Matrosov, karanlık ağdaki Money Message sitesinde yayınlanan verileri analiz etti. Hazinede iki özel şifreleme anahtarının olması onu korkutmuştu. Birincisi, bir tehdit aktörünün kötü niyetli bir sahtekarı değil, MSI’dan gelen yasal güncellemeler olduğunu kriptografik olarak kanıtlamak için MSI üretici yazılımı güncellemelerini dijital olarak imzalayan imzalama anahtarıdır.
Bu, sızan anahtarın, bir uyarıyı tetiklemeden bir bilgisayarın en alt bölgelerine bulaşabilecek güncellemeleri gönderme olasılığını artırır. Daha da kötüsü Matrosov, MSI’ın Dell, HP ve birçok büyük donanım üreticisinin yaptığı gibi otomatik bir yama işlemine sahip olmadığını söyledi. Sonuç olarak, MSI aynı türden anahtar iptal etme yetenekleri sağlamaz.
“Çok kötü, sık sık olmuyor” dedi. “Bu olaya çok dikkat etmeleri gerekiyor çünkü burada çok ciddi güvenlik etkileri var.”
Endişeye ek olarak, MSI bugüne kadar konuyla ilgili radyo sessizliğini korumuştur. Şirket temsilcileri, yorum isteyen ve şirketin müşterilerine rehberlik etmeyi planlayıp planlamadığını soran e-postalara yanıt vermedi.
Son on yılda, kurbanların geçerli bir şekilde imzalanmış bir güncelleme yüklemekten başka bir şey yapmadığı tedarik zinciri saldırıları, tek bir olayda binlerce kullanıcıya kötü niyetli yükler teslim etti. bu 2019 uzlaşması bulut tabanlı bir ağ yönetim hizmeti olan SolarWinds için yazılım oluşturma ve dağıtım sisteminin.
Meşru güncellemeleri onaylamak için kullanılan özel anahtarın kontrolüyle, Rusya Dış İstihbarat Servisi’nin bir parçası olduğuna inanılan APT29 ve Cozy Bear olarak bilinen Kremlin destekli bilgisayar korsanlığı birimi, 18.000’den fazla müşteriye ilk aşamada kötü amaçlı yazılım bulaştırdı. On federal kurum ve yaklaşık 100 özel şirket, casuslukta kullanılmak üzere arka kapılar kuran takip yükleri aldı.
Mart ayında, 190 ülkede 600.000’den fazla kuruluş tarafından kullanılan popüler VoIP yazılımının üreticisi olan telefon şirketi 3CX, ifşa inşa sisteminin ihlali. Araştırmacılara göre, Kuzey Kore hükümeti adına çalışan bu izinsiz girişin arkasındaki bilgisayar korsanları, bilinmeyen sayıda müşteriye kötü amaçlı güncellemeler göndermek için dayanaklarını kullandılar.
Güvenlik firması Mandiant daha sonra bildirildi 3CX’in ele geçirilmesinin, 3CX’in kullandığı X_Trader finansal ticaret programının üreticisi olan yazılım geliştiricisi Trading Technologies’e yönelik bir tedarik zinciri saldırısı yoluyla bulaşmasından kaynaklandığını.
MSI müşterilerini hedef alan herhangi bir tedarik zinciri saldırısı bildirilmemiştir. Bir yazılım oluşturma sisteminden taviz vermek için gereken türde kontrolü elde etmek, genellikle çok fazla beceri ve muhtemelen biraz şans gerektiren önemsiz olmayan bir olaydır. MSI’ın otomatik bir güncelleme mekanizması veya iptal süreci olmadığı için, çıta muhtemelen daha düşük olacaktır.
Zorluk ne olursa olsun, MSI’ın yükleyici dosyalarının gerçekliğini kriptografik olarak doğrulamak için kullandığı imzalama anahtarına sahip olmak, etkili bir tedarik zinciri saldırısı gerçekleştirmek için gereken çabayı ve kaynakları önemli ölçüde azaltır.
“En kötü senaryo, saldırganların yalnızca anahtarlara erişim elde etmekle kalmayıp aynı zamanda bu kötü niyetli güncellemeyi dağıtabilmesidir. [using those keys],” dedi Matrosov.
bir danışmaHollanda merkezli Ulusal Siber Güvenlik Merkezi olasılığı dışlamadı.
NCSC yetkilileri, “Başarılı kötüye kullanma teknik olarak karmaşık olduğundan ve prensip olarak savunmasız bir sisteme yerel erişim gerektirdiğinden, NCSC kötüye kullanma riskinin küçük olduğunu düşünüyor” dedi. “Ancak sızan anahtarların hedefli saldırılarda kötüye kullanılması tasavvur edilemez değil. NCSC, sızan anahtar materyalin kötüye kullanıldığına dair herhangi bir belirtiden henüz haberdar değil.”
Tehdidi artıran Money Message bilgisayar korsanları, MSI’ın müşterilerine dağıttığı Intel Boot Guard’ın bir sürümünde kullanılan özel bir şifreleme anahtarı da ele geçirdi. Diğer birçok donanım üreticisi, etkilenmeyen farklı anahtarlar kullanır. Bir e-postada, bir Intel sözcüsü şunları yazdı:
Intel bu raporların farkındadır ve aktif olarak araştırmaktadır. Araştırmacı, Intel BootGuard için MSI OEM İmzalama Anahtarları da dahil olmak üzere verilere özel imzalama anahtarlarının dahil edildiğini iddia etti. Intel BootGuard OEM anahtarlarının sistem üreticisi tarafından oluşturulduğuna ve bunların Intel imzalama anahtarları olmadığına dikkat edilmelidir.
Kapsamlı erişim
Intel Önyükleme Koruması, modern Intel donanımına yerleştirilmiştir ve genellikle bir UEFI önyükleme seti biçimindeki kötü amaçlı ürün yazılımının yüklenmesini önlemek için tasarlanmıştır. Bu kötü amaçlı yazılım, bir ana karta gömülü silikonda bulunur, tespit edilmesi imkansız değilse bile zordur ve bir bilgisayar her açıldığında çalıştırılan ilk şeydir. UEFI bulaşmaları, işletim sistemi çalışmaya başlamadan önce kötü amaçlı yazılımın yüklenmesine izin vererek, korumaları atlamayı ve güvenlik uç noktası korumasından daha iyi gizlenmeyi mümkün kılar.
Her iki anahtara da sahip olmak, en kötü durum senaryosunda tehdidi daha da artırır. Çarşamba günkü NCSC tavsiyesi şunları açıkladı:
Intel Boot Guard, Intel tarafından geliştirilmiş bir teknolojidir. Intel Önyükleme Koruması, bir sistemin önyükleme işlemi sırasında bir anakartın donanım yazılımının satıcı tarafından dijital olarak imzalandığını doğrular. MSI’ın Intel Önyükleme Koruması ve ürün yazılımı anahtarlarının sızdırılması, bir saldırganın kötü amaçlı ürün yazılımını kendi kendine imzalamasını sağlar. Güvenlik açığı bulunan bir sisteme (prensipte yerel olarak) erişimi olan bir saldırgan daha sonra bu üretici yazılımını yükleyip çalıştırabilir. Bu, saldırganın üstteki tüm güvenlik önlemlerini atlayarak sisteme geniş kapsamlı erişimini sağlar. Örneğin, saldırgan sistemde depolanan verilere erişim elde eder veya bu erişimi başka saldırılar gerçekleştirmek için kullanabilir.
Yonga üreticisi Intel, NCSC’ye sızan özel anahtarların MSI’a özgü olduğunu ve bu nedenle yalnızca MSI sistemleri için kullanılabileceğini bildirdi. Ancak, MSI anakartları diğer satıcıların ürünlerine dahil edilebilir. Sonuç olarak, sızan anahtarların kötüye kullanılması da bu sistemlerde gerçekleşebilir. Etkilenen sistemler hakkında daha fazla bilgi için “Olası Çözümler” bölümüne bakın.
Şimdilik, etkilenen donanımı kullanan kişiler (şu ana kadar yalnızca MSI müşterileriyle veya muhtemelen MSI donanımı satan üçüncü taraflarla sınırlı görünüyor), geçerli bir şekilde imzalanmış olsalar bile, herhangi bir ürün yazılımı güncellemesine karşı ekstra dikkatli olmalıdır.