微星(MSI)拒付贖金后,其固件簽名私鑰和英特爾的OEM私鑰遭勒索軟件組織泄露,包括聯(lián)想、英特爾、微星、超微等多家PC設(shè)備和半導(dǎo)體巨頭受到影響。
微星國(guó)際(MSI)是一家開發(fā)和銷售計(jì)算機(jī)(筆記本電腦、臺(tái)式機(jī)、一體機(jī)、服務(wù)器等)和計(jì)算機(jī)硬件(主板、顯卡、PC外圍設(shè)備等)的跨國(guó)公司。
該公司在4月初證實(shí)遭Money Message勒索軟件組織攻擊,后者宣稱已經(jīng)竊取了該公司的一些源代碼,并要求微星支付400萬(wàn)美元用于贖回或刪除泄露數(shù)據(jù)。
在網(wǎng)絡(luò)攻擊事件發(fā)生后,微星敦促“用戶僅從其官方網(wǎng)站獲取固件/BIOS更新,而不是使用來自官方網(wǎng)站以外來源的文件?!?
MSI固件簽名密鑰和英特爾OEM私鑰泄露
近日,Money Message集團(tuán)表示,由于微星選擇拒絕支付贖金,已經(jīng)開始發(fā)布被盜的微星數(shù)據(jù)。
固件供應(yīng)鏈安全公司Binarly分析了已經(jīng)公開泄露的源代碼,發(fā)現(xiàn)其中包含了57個(gè)微星用的固件映像的私有代碼簽名密鑰,以及116個(gè)微星產(chǎn)品上使用的Intel Boot Guard的私有簽名密鑰。
這意味著什么?
顯然,鑒于微星此前曾警告客戶僅從其官方網(wǎng)站獲取固件/BIOS更新,這表明該公司擔(dān)心攻擊者可能會(huì)編譯惡意更新并使用被盜密鑰對(duì)其進(jìn)行簽名。但值得重視的是,攻擊者也可以用這些私鑰簽署其他惡意負(fù)載,從而有效地繞過防病毒解決方案。
無論是泄露的英特爾OEM私鑰清單(KM)還是啟動(dòng)策略清單(BPM)密鑰,都可用于對(duì)惡意固件映像進(jìn)行簽名,以通過英特爾啟動(dòng)衛(wèi)士的驗(yàn)證。(英特爾啟動(dòng)防護(hù)可防止計(jì)算機(jī)運(yùn)行未使用原始設(shè)備制造商的數(shù)字簽名簽名的固件/UEFI映像,相應(yīng)的公鑰則由制造商寫入到系統(tǒng)的芯片組中。)