.
Aurich Lawson
Uma invasão de ransomware no fabricante de hardware Micro-Star International, mais conhecido como MSI, está alimentando preocupações de ataques devastadores à cadeia de suprimentos que podem injetar atualizações maliciosas que foram assinadas com chaves de assinatura da empresa nas quais uma enorme base de dispositivos de usuários finais confia. disse um pesquisador.
“É como um cenário apocalíptico em que é muito difícil atualizar os dispositivos simultaneamente, e eles ficam por um tempo desatualizados e usam a chave antiga para autenticação”, Alex Matrosov, CEO, chefe de pesquisa e fundador da empresa de segurança Binarly, disse em uma entrevista. “É muito difícil de resolver e não acho que a MSI tenha nenhuma solução de backup para realmente bloquear as chaves vazadas.”
Chave vazada + sem revogação = receita para o desastre
A invasão veio à tona em abril quando, conforme relatado pela primeira vez pela Bleeping Computer, o portal de extorsão do grupo de ransomware Money Message listou o MSI como uma nova vítima e publicou capturas de tela que pretendiam mostrar pastas contendo chaves de criptografia privadas, código-fonte e outros dados. Um dia depois, a MSI emitiu um comunicado conciso dizendo que havia “sofrido um ataque cibernético em parte de seus sistemas de informação”. O comunicado instou os clientes a obter atualizações apenas no site da MSI. Não fez nenhuma menção de chaves vazadas.
Desde então, Matrosov analisou dados divulgados no site Money Message na dark web. Para seu alarme, havia duas chaves privadas de criptografia incluídas no tesouro. A primeira é a chave de assinatura que assina digitalmente as atualizações de firmware do MSI para provar criptograficamente que são legítimos do MSI, em vez de um impostor malicioso de um ator de ameaça.
Isso aumenta a possibilidade de que a chave vazada possa enviar atualizações que infectem as regiões mais baixas de um computador sem acionar um aviso. Para piorar a situação, disse Matrosov, a MSI não possui um processo de correção automatizado como a Dell, a HP e muitos fabricantes de hardware maiores. Conseqüentemente, o MSI não oferece o mesmo tipo de capacidade de revogação de chave.
“É muito ruim, não acontece com frequência”, disse ele. “Eles precisam prestar muita atenção a este incidente porque há implicações de segurança muito sérias aqui.”
Aumentando a preocupação, a MSI até o momento manteve silêncio no rádio sobre o assunto. Os representantes da empresa não responderam aos e-mails solicitando comentários e perguntando se a empresa planejava emitir orientações para seus clientes.
Na última década, os ataques à cadeia de suprimentos entregaram cargas maliciosas a milhares de usuários em um único incidente, quando as vítimas não fizeram nada além de instalar uma atualização assinada de forma válida. O compromisso de 2019 do sistema de construção e distribuição de software para SolarWinds, um serviço de gerenciamento de rede baseado em nuvem.
Com o controle da chave privada usada para certificar atualizações legítimas, a unidade de hackers apoiada pelo Kremlin conhecida como APT29 e Cozy Bear, que se acredita fazer parte do Serviço de Inteligência Estrangeira da Rússia, infectou mais de 18.000 clientes com um primeiro estágio de malware. Dez agências federais e cerca de 100 empresas privadas receberam cargas subsequentes que instalaram backdoors para uso em espionagem.
Em março, a empresa de telefonia 3CX, fabricante do popular software VoIP usado por mais de 600.000 organizações em 190 países, divulgou uma violação de seu sistema de construção. Os hackers por trás dessa invasão, que trabalham em nome do governo norte-coreano, segundo os pesquisadores, usaram sua posição para fornecer atualizações maliciosas a um número desconhecido de clientes.
A empresa de segurança Mandiant relatou mais tarde que o comprometimento do 3CX resultou de uma infecção por meio de um ataque à cadeia de suprimentos no desenvolvedor de software Trading Technologies, fabricante do programa de negociação financeira X_Trader usado pelo 3CX.
Não há relatos de ataques à cadeia de suprimentos direcionados aos clientes da MSI. Obter o tipo de controle necessário para comprometer um sistema de construção de software geralmente é um evento não trivial que requer muita habilidade e possivelmente um pouco de sorte. Como o MSI não possui um mecanismo de atualização automatizado ou um processo de revogação, a barra provavelmente seria menor.
Seja qual for a dificuldade, a posse da chave de assinatura que a MSI usa para verificar criptograficamente a autenticidade de seus arquivos de instalação reduz significativamente o esforço e os recursos necessários para realizar um ataque eficaz à cadeia de suprimentos.
“O pior cenário é se os invasores obtiverem não apenas acesso às chaves, mas também distribuir essa atualização maliciosa [using those keys]”, disse Matrosov.
Em um comunicado, o Centro Nacional de Segurança Cibernética da Holanda não descartou a possibilidade.
“Como o abuso bem-sucedido é tecnicamente complexo e, em princípio, requer acesso local a um sistema vulnerável, o NCSC considera o risco de abuso pequeno”, escreveram os funcionários do NCSC. “No entanto, não é inconcebível que as chaves vazadas sejam mal utilizadas em ataques direcionados. O NCSC ainda não está ciente de nenhuma indicação de uso indevido do material de chave vazado.”
Para agravar a ameaça, os hackers do Money Message também adquiriram uma chave de criptografia privada usada em uma versão do Intel Boot Guard que a MSI distribui a seus clientes. Muitos outros fabricantes de hardware usam chaves diferentes que não são afetadas. Em um e-mail, um porta-voz da Intel escreveu:
A Intel está ciente desses relatórios e está investigando ativamente. Houve alegações de pesquisadores de que as chaves de assinatura privadas estão incluídas nos dados, incluindo as chaves de assinatura MSI OEM para Intel BootGuard. Deve-se observar que as chaves OEM do Intel BootGuard são geradas pelo fabricante do sistema e não são chaves de assinatura da Intel.
Acesso de longo alcance
O Intel Boot Guard é integrado ao hardware Intel moderno e foi projetado para impedir o carregamento de firmware malicioso, geralmente na forma de um bootkit UEFI. Esse malware reside no silício embutido na placa-mãe, é difícil, se não impossível, de detectar e é a primeira coisa a ser executada toda vez que um computador é ligado. As infecções por UEFI permitem que o malware seja carregado antes que o sistema operacional comece a ser executado, tornando possível contornar as proteções e se esconder melhor da proteção do terminal de segurança.
A posse de ambas as chaves aumenta ainda mais a ameaça no pior cenário. O comunicado de quarta-feira do NCSC explicou:
Intel Boot Guard é uma tecnologia desenvolvida pela Intel. O Intel Boot Guard verifica se o firmware da placa-mãe foi assinado digitalmente pelo fornecedor durante o processo de inicialização do sistema. O vazamento do Intel Boot Guard e das chaves de firmware da MSI permite que um invasor assine automaticamente o firmware malicioso. Um invasor com acesso (principalmente local) a um sistema vulnerável pode instalar e executar esse firmware. Isso dá ao invasor acesso de longo alcance ao sistema, ignorando todas as medidas de segurança subjacentes. Por exemplo, o invasor obtém acesso aos dados armazenados no sistema ou pode usar o acesso para realizar outros ataques.
A fabricante de chips Intel informou ao NCSC que as chaves privadas vazadas são específicas do MSI e, portanto, só podem ser usadas para sistemas MSI. No entanto, as placas-mãe MSI podem ser incorporadas a produtos de outros fornecedores. Como resultado, o abuso das chaves vazadas também pode ocorrer nesses sistemas. Consulte “Soluções possíveis” para obter mais informações sobre os sistemas afetados.
Por enquanto, as pessoas que usam hardware afetado – que até agora parece ser limitado apenas a clientes MSI ou possivelmente a terceiros que revendem hardware MSI – devem ter muito cuidado com qualquer atualização de firmware, mesmo que sejam validamente assinadas.
.
