aurich lawson
Una intrusión de ransomware en el fabricante de hardware Micro-Star International, más conocido como MSI, está avivando la preocupación por los devastadores ataques a la cadena de suministro que podrían inyectar actualizaciones maliciosas que se han firmado con claves de firma de la empresa en las que confía una gran base de dispositivos de usuarios finales. dijo un investigador.
“Es como un escenario del fin del mundo en el que es muy difícil actualizar los dispositivos simultáneamente, y permanecen sin estar actualizados durante un tiempo y usarán la clave anterior para la autenticación”, Alex Matrosov, director ejecutivo, jefe de investigación y fundador. de la firma de seguridad Binarly, dijo en una entrevista. “Es muy difícil de resolver, y no creo que MSI tenga ninguna solución de respaldo para bloquear las claves filtradas”.
Clave filtrada + sin revocación = receta para el desastre
La intrusión salió a la luz en abril cuando, como reportado por primera vez por Bleeping Computer, el portal de extorsión del grupo de ransomware Money Message incluyó a MSI como una nueva víctima y publicó capturas de pantalla que pretendían mostrar carpetas que contenían claves de cifrado privadas, código fuente y otros datos. Un día después, MSI emitió un breve aviso diciendo que había “sufrido un ciberataque en parte de sus sistemas de información”. El aviso instó a los clientes a obtener actualizaciones solo del sitio web de MSI. No hizo mención de llaves filtradas.
Desde entonces, Matrosov ha analizado los datos que se publicaron en el sitio Money Message en la dark web. Para su alarma, se incluyeron en el tesoro dos claves de encriptación privadas. La primera es la clave de firma que firma digitalmente las actualizaciones de firmware de MSI para probar criptográficamente que son legítimas de MSI en lugar de un impostor malicioso de un actor de amenazas.
Esto plantea la posibilidad de que la clave filtrada pueda generar actualizaciones que infectarían la mayoría de las regiones inferiores de una computadora sin activar una advertencia. Para empeorar las cosas, dijo Matrosov, MSI no tiene un proceso de parcheo automatizado como lo tienen Dell, HP y muchos fabricantes de hardware más grandes. En consecuencia, MSI no proporciona el mismo tipo de capacidades de revocación de claves.
“Es muy malo, no sucede con frecuencia”, dijo. “Deben prestar mucha atención a este incidente porque aquí hay implicaciones de seguridad muy serias”.
Además de la preocupación, MSI hasta la fecha ha mantenido silencio por radio sobre el asunto. Los representantes de la empresa no respondieron a los correos electrónicos en busca de comentarios y preguntando si la empresa planeaba emitir una guía para sus clientes.
Durante la última década, los ataques a la cadena de suministro entregaron cargas útiles maliciosas a miles de usuarios en un solo incidente cuando las víctimas no hicieron nada más que instalar una actualización firmada válidamente. El compromiso de 2019 del sistema de compilación y distribución de software para SolarWinds, un servicio de administración de red basado en la nube.
Con el control de la clave privada utilizada para certificar actualizaciones legítimas, la unidad de piratería respaldada por el Kremlin conocida como APT29 y Cozy Bear, que se cree que forma parte del Servicio de Inteligencia Exterior de Rusia, infectó a más de 18.000 clientes con una primera etapa de malware. Diez agencias federales y alrededor de 100 empresas privadas recibieron cargas útiles de seguimiento que instalaron puertas traseras para su uso en espionaje.
En marzo, la empresa de telefonía 3CX, fabricante del popular software VoIP utilizado por más de 600.000 organizaciones en 190 países, revelado una violación de su sistema de compilación. Los piratas informáticos detrás de esa intrusión, que trabajan en nombre del gobierno de Corea del Norte, según los investigadores, utilizaron su punto de apoyo para enviar actualizaciones maliciosas a un número desconocido de clientes.
Empresa de seguridad Mandiant informó más tarde que el compromiso de 3CX se debió a que se infectó a través de un ataque a la cadena de suministro contra el desarrollador de software Trading Technologies, fabricante del programa de comercio financiero X_Trader que usó 3CX.
No hay informes de ataques a la cadena de suministro dirigidos a clientes de MSI. Obtener el tipo de control necesario para comprometer un sistema de compilación de software generalmente es un evento no trivial que requiere mucha habilidad y posiblemente algo de suerte. Sin embargo, debido a que MSI no tiene un mecanismo de actualización automatizado o un proceso de revocación, la barra probablemente sea más baja.
Cualquiera que sea la dificultad, la posesión de la clave de firma que utiliza MSI para verificar criptográficamente la autenticidad de sus archivos de instalación reduce significativamente el esfuerzo y los recursos necesarios para llevar a cabo un ataque eficaz a la cadena de suministro.
“El peor escenario es si los atacantes no solo obtienen acceso a las claves, sino que también pueden distribuir esta actualización maliciosa. [using those keys]dijo Matrósov.
en un consultivoel Centro Nacional de Ciberseguridad con sede en los Países Bajos no descartó la posibilidad.
“Debido a que el abuso exitoso es técnicamente complejo y, en principio, requiere acceso local a un sistema vulnerable, el NCSC considera que el riesgo de abuso es pequeño”, escribieron los funcionarios del NCSC. “Sin embargo, no es inconcebible que las claves filtradas sean mal utilizadas en ataques dirigidos. El NCSC aún no tiene conocimiento de ningún indicio de uso indebido del material clave filtrado”.
Para agravar la amenaza, los piratas informáticos de Money Message también adquirieron una clave de cifrado privada utilizada en una versión de Intel Boot Guard que MSI distribuye a sus clientes. Muchos otros fabricantes de hardware usan diferentes claves que no se ven afectadas. En un correo electrónico, un portavoz de Intel escribió:
Intel está al tanto de estos informes y está investigando activamente. Ha habido afirmaciones de investigadores de que las claves de firma privadas están incluidas en los datos, incluidas las claves de firma OEM de MSI para Intel BootGuard. Cabe señalar que las claves OEM de Intel BootGuard son generadas por el fabricante del sistema y no son claves de firma de Intel.
Acceso de largo alcance
Intel Boot Guard está integrado en el hardware Intel moderno y está diseñado para evitar la carga de firmware malicioso, generalmente en forma de kit de arranque UEFI. Este malware reside en el silicio incrustado en una placa base, es difícil, si no imposible, de detectar y es lo primero que se ejecuta cada vez que se enciende una computadora. Las infecciones de UEFI permiten que el malware se cargue antes de que el sistema operativo comience a ejecutarse, lo que permite eludir las protecciones y ocultarse mejor de la protección de punto final de seguridad.
La posesión de ambas llaves aumenta aún más la amenaza en el peor de los casos. El aviso del miércoles del NCSC explicó:
Intel Boot Guard es una tecnología desarrollada por Intel. Intel Boot Guard verifica que el firmware de la placa base haya sido firmado digitalmente por el proveedor durante el proceso de arranque del sistema. La filtración de Intel Boot Guard y las claves de firmware de MSI permite a un atacante autofirmar firmware malicioso. Un atacante con acceso (en principio local) a un sistema vulnerable puede instalar y ejecutar este firmware. Esto le da al atacante un acceso de gran alcance al sistema, pasando por alto todas las medidas de seguridad subyacentes. Por ejemplo, el atacante obtiene acceso a los datos almacenados en el sistema o puede utilizar el acceso para realizar más ataques.
El fabricante de chips Intel ha informado al NCSC que las claves privadas filtradas son específicas de MSI y, por lo tanto, solo pueden usarse para sistemas MSI. Sin embargo, las placas base MSI pueden incorporarse a productos de otros proveedores. Como resultado, el abuso de las claves filtradas también puede tener lugar en estos sistemas. Consulte “Posibles soluciones” para obtener más información sobre los sistemas afectados.
Por ahora, las personas que usan el hardware afectado, que hasta ahora parece estar limitado solo a clientes de MSI o posiblemente a terceros que revenden hardware de MSI, deben tener mucho cuidado con las actualizaciones de firmware, incluso si están firmadas de manera válida.