أخبار التقنية

يثير تسريب مفاتيح توقيع MSI UEFI مخاوف من هجوم سلسلة التوريد “يوم القيامة”


أوريك لوسون

يعمل اختراق برامج الفدية على شركة Micro-Star International ، المعروفة باسم MSI ، على إثارة المخاوف من هجمات سلسلة التوريد المدمرة التي يمكن أن تضخ تحديثات ضارة تم توقيعها مع مفاتيح توقيع الشركة الموثوقة من قبل قاعدة ضخمة من أجهزة المستخدم النهائي ، قال باحث.

قال أليكس ماتروسوف ، الرئيس التنفيذي ورئيس قسم الأبحاث ومؤسس الأمن شركة Binarly ، في مقابلة. “من الصعب جدًا حلها ، ولا أعتقد أن MSI لديها أي حل احتياطي لمنع المفاتيح المسربة بالفعل.”

مفتاح مُسَرَّب + لا إبطال = وصفة لكارثة

ظهر التطفل في أبريل عندما ، كما ورد لأول مرة من قبل Bleeping Computer ، أدرجت بوابة الابتزاز لمجموعة Money Message ransomware MSI كضحية جديدة ولقطات شاشة منشورة تزعم أنها تعرض مجلدات تحتوي على مفاتيح تشفير خاصة ورمز المصدر وبيانات أخرى. بعد ذلك بيوم ، أصدرت MSI تحذيرًا مقتضبًا قالت فيه إنها “تعرضت لهجوم إلكتروني على جزء من أنظمة المعلومات الخاصة بها.” حث المستشار العملاء على الحصول على التحديثات من موقع MSI الإلكتروني فقط. ولم يذكر تسريب المفاتيح.

منذ ذلك الحين ، قام Matrosov بتحليل البيانات التي تم إصدارها على موقع Money Message على الويب المظلم. لإنذاره ، تم تضمين مفتاحي تشفير خاصين في المجموعة الدفاعية. الأول هو مفتاح التوقيع الذي يوقع رقميًا على تحديثات البرامج الثابتة من MSI لإثبات تشفيرها بأنها شرعية من MSI وليست محتالًا ضارًا من جهة تهديدات.

هذا يثير احتمال أن المفتاح المسرب قد يدفع التحديثات التي من شأنها أن تصيب المناطق السفلية للكمبيوتر دون إطلاق تحذير. وقال ماتروسوف إنه لجعل الأمور أسوأ ، ليس لدى MSI عملية تصحيح آلية بالطريقة التي تعمل بها Dell و HP والعديد من صانعي الأجهزة الأكبر حجمًا. وبالتالي ، لا توفر MSI نفس النوع من إمكانيات إبطال المفاتيح.

قال: “إنه أمر سيء للغاية ، ولا يحدث كثيرًا”. “إنهم بحاجة إلى إيلاء الكثير من الاهتمام لهذا الحادث لأن هناك تداعيات أمنية خطيرة للغاية هنا.”

إضافة إلى القلق ، التزمت MSI حتى الآن الصمت اللاسلكي بشأن هذه المسألة. لم يرد ممثلو الشركة على رسائل البريد الإلكتروني التي تطلب التعليق وسؤالهم عما إذا كانت الشركة تخطط لإصدار إرشادات لعملائها.

على مدار العقد الماضي ، قدمت هجمات سلسلة التوريد حمولات ضارة لآلاف المستخدمين في حادثة واحدة عندما لم يفعل الضحايا شيئًا سوى تثبيت تحديث موقع بشكل صحيح. حل وسط عام 2019 لبناء البرامج ونظام التوزيع الخاص بـ SolarWinds ، وهي خدمة إدارة شبكة قائمة على السحابة.

من خلال التحكم في المفتاح الخاص المستخدم للمصادقة على التحديثات المشروعة ، قامت وحدة القرصنة المدعومة من الكرملين والمعروفة باسم APT29 و Cozy Bear ، والتي يُعتقد أنها جزء من خدمة الاستخبارات الخارجية الروسية ، بإصابة أكثر من 18000 عميل بالمرحلة الأولى من البرامج الضارة. تلقت عشر وكالات فيدرالية وحوالي 100 شركة خاصة حمولات متابعة قامت بتركيب أبواب خلفية لاستخدامها في التجسس.

في مارس ، كشفت شركة الاتصالات الهاتفية 3CX ، الشركة المصنعة لبرامج VoIP الشهيرة التي تستخدمها أكثر من 600000 مؤسسة في 190 دولة ، عن انتهاك لنظام البناء الخاص بها. القراصنة الذين يقفون وراء هذا التطفل ، والذين يعملون نيابة عن حكومة كوريا الشمالية ، وفقًا للباحثين ، استخدموا موطئ قدمهم لتقديم تحديثات خبيثة لعدد غير معروف من العملاء.

ذكرت شركة الأمان Mandiant لاحقًا أن اختراق 3CX نتج عن إصابته من خلال هجوم سلسلة التوريد على مطور البرامج Trading Technologies ، صانع برنامج التداول المالي X_Trader 3CX المستخدم.

لا توجد تقارير عن أي هجمات لسلسلة التوريد تستهدف عملاء MSI. يعد اكتساب نوع التحكم المطلوب للتنازل عن نظام إنشاء البرامج حدثًا غير تافه يتطلب قدرًا كبيرًا من المهارة وربما بعض الحظ. نظرًا لأن MSI لا تحتوي على آلية تحديث تلقائية أو عملية إبطال ، فمن المحتمل أن يكون الشريط أقل.

مهما كانت الصعوبة ، فإن امتلاك مفتاح التوقيع الذي تستخدمه MSI للتحقق من صحة ملفات المثبت الخاصة بها بشكل مشفر يقلل بشكل كبير من الجهد والموارد اللازمة لتنفيذ هجوم فعال لسلسلة التوريد.

السيناريو الأسوأ هو إذا لم يتمكن المهاجمون من الوصول إلى المفاتيح فحسب ، بل يمكنهم أيضًا توزيع هذا التحديث الضار [using those keys]قال ماتروسوف.

في تقرير استشاري ، لم يستبعد المركز الوطني للأمن السيبراني ومقره هولندا هذا الاحتمال.

كتب مسؤولو NCSC: “نظرًا لأن الإساءة الناجحة معقدة تقنيًا وتتطلب من حيث المبدأ الوصول المحلي إلى نظام ضعيف ، فإن NCSC تعتبر مخاطر إساءة الاستخدام صغيرة”. ومع ذلك ، فليس من المستبعد أن يتم إساءة استخدام المفاتيح المسربة في الهجمات المستهدفة. لم يكن مركز الخدمة المدنية الوطني على علم حتى الآن بأي مؤشرات على إساءة استخدام المواد الرئيسية المسربة “.

مما زاد من تفاقم التهديد ، حصل قراصنة Money Message أيضًا على مفتاح تشفير خاص يستخدم في إصدار Intel Boot Guard الذي توزعه MSI على عملائها. يستخدم العديد من صانعي الأجهزة الأخرى مفاتيح مختلفة لا تتأثر. في رسالة بريد إلكتروني ، كتب متحدث باسم Intel:

إنتل على علم بهذه التقارير وتحقق فيها بنشاط. كان هناك باحثون يدعون أن مفاتيح التوقيع الخاصة مدرجة في البيانات بما في ذلك مفاتيح توقيع MSI OEM لـ Intel BootGuard. وتجدر الإشارة إلى أن مفاتيح Intel BootGuard OEM تم إنشاؤها بواسطة الشركة المصنعة للنظام ، وهذه ليست مفاتيح توقيع Intel.

وصول بعيد المدى

تم دمج Intel Boot Guard في أجهزة Intel الحديثة وهو مصمم لمنع تحميل البرامج الثابتة الضارة عادة في شكل مجموعة تمهيد UEFI. توجد هذه البرامج الضارة في السيليكون المضمن في اللوحة الأم ، ومن الصعب ، إن لم يكن من المستحيل ، اكتشافها ، وهي أول شيء يتم تنفيذه في كل مرة يتم فيها تشغيل الكمبيوتر. تسمح عدوى UEFI بتحميل البرامج الضارة قبل بدء تشغيل نظام التشغيل ، مما يجعل من الممكن تجاوز الحماية والإخفاء بشكل أفضل من حماية نقطة النهاية الأمنية.

يؤدي حيازة كلا المفتاحين إلى تصعيد التهديد في سيناريو أسوأ الحالات. أوضح استشاري يوم الأربعاء من NCSC:

Intel Boot Guard هي تقنية تم تطويرها بواسطة Intel. يتحقق Intel Boot Guard من أن البرنامج الثابت للوحة الأم قد تم توقيعه رقميًا بواسطة البائع أثناء عملية تمهيد النظام. يُمكِّن تسريب برنامج Intel Boot Guard ومفاتيح البرامج الثابتة من MSI المهاجم من التوقيع الذاتي على البرامج الثابتة الضارة. يمكن للمهاجم الذي لديه وصول (محلي من حيث المبدأ) إلى نظام ضعيف تثبيت وتشغيل هذا البرنامج الثابت. هذا يمنح المهاجم وصولاً بعيد المدى إلى النظام ، متجاوزًا جميع الإجراءات الأمنية الشاملة. على سبيل المثال ، يتمكن المهاجم من الوصول إلى البيانات المخزنة على النظام أو يمكنه استخدام الوصول لتنفيذ المزيد من الهجمات.

أبلغت شركة Intel المصنعة للرقاقة NCSC أن المفاتيح الخاصة المسربة خاصة بـ MSI وبالتالي لا يمكن استخدامها إلا لأنظمة MSI. ومع ذلك ، قد يتم دمج اللوحات الأم MSI في منتجات من بائعين آخرين. نتيجة لذلك ، قد يحدث أيضًا إساءة استخدام المفاتيح المسربة على هذه الأنظمة. راجع “الحلول الممكنة” لمزيد من المعلومات حول الأنظمة المتأثرة.

في الوقت الحالي ، يجب على الأشخاص الذين يستخدمون الأجهزة المتأثرة – والتي تبدو حتى الآن مقصورة فقط على عملاء MSI أو ربما الأطراف الثالثة التي تعيد بيع أجهزة MSI – أن يكونوا حذرين للغاية من أي تحديثات للبرامج الثابتة ، حتى لو كانت موقعة بشكل صحيح.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى