ブログ

Mar 22, 2023

Intel ブート ガード キーの漏洩はセキュリティに何年にもわたる影響を与える可能性がある

Chiavi di firma di sicurezza critiche potrebbero essere trapelate da MSI Gaming

MSI Gaming から Intel ベースのファームウェアの重要なセキュリティ機能の署名キーが漏洩する可能性があり、今後何年にもわたってファームウェアのセキュリティに影を落とし、そのキーを使用するデバイスがサイバー攻撃に対して非常に脆弱になる可能性があるとセキュリティ専門家は述べています。

Intelは、116のMSI製品のIntel Boot Guard秘密キーの漏洩疑惑について、現在も「積極的に調査中」であると同社はDark Readingに語った。 この調査は、ファームウェア サプライ チェーン セキュリティ プラットフォーム Binarly の CEO、Alex Matrosov 氏による、2023 年 3 月の MSI へのサイバー攻撃で流出したソース コードには、このデータと 57 の MSI 製品のイメージ署名秘密鍵が含まれているとの主張を受けて行われました。

「確認したところ、Intel OEM秘密鍵が漏洩し、エコシステム全体に影響を与えた。Intel BootGuardは、11番目のTiger Lake、12番目のAdler Lake、13番目のRaptor Lakeプロセッサを搭載した特定のデバイスでは効果がないようだ」とツイートした。

この漏洩疑惑は、「Money Message」として追跡される新興ランサムウェア集団が台湾に本拠を置くMSIを二重恐喝ランサムウェア攻撃で襲い、攻撃中にファームウェア、ソースコード、データベースを含む1.5TBのデータを盗んだと主張してから約1か月後に発生した。 。

同グループが要求した400万ドルの身代金が支払われなかったため、攻撃者は攻撃で盗んだデータをリークサイトに投稿し始めた。 先週、MSIのマザーボードで使用されているファームウェアのソースコードを含む、MSIの盗まれたデータがそのサイトで発見された。

Intel Boot Guard は、改ざんされた非正規の Unified Extensible Firmware Interface (UEFI) ファームウェアの実行からコンピュータを保護することを目的としたハードウェア ベースのセキュリティ テクノロジです。「攻撃者が BIOS の変更に対する保護をバイパスした場合に、このような事態が発生する可能性があります。」 Binarly efiXplorer チームは、昨年 11 月に公開されたブログ投稿で説明しました。

この投稿は、Intel の最新プロセッサのコード名である Alder Lake の UEFI BIOS と、プロビジョニング段階で Boot Guard に必要なキー ペアが 10 月にリークされたことを受けて投稿されました。

攻撃者が MSI 関連の Intel Boot Guard 署名キーを入手した場合、ベンダーによって署名されているように見える、したがって正規のものであるように見える、影響を受けるデバイス (MSI マザーボードを含む) に脆弱なファームウェアを読み込む可能性があります。

さらに、BIOS はデバイスの OS よりも前に実行されるため、脆弱なコードが最も基本的なデバイス レベルに存在するため、パッチを適用したり防御したりすることが難しく、シナリオがさらに複雑になると、あるセキュリティ専門家は指摘しています。

「これらのキーの埋め込みと使用方法の性質上、セキュリティパッチをインストールするという通常のアドバイスは不可能かもしれない」とサイバーセキュリティソフトウェア会社Keeper SecurityのCEO兼共同創設者であるDarren Guccione氏はDark Readingへの電子メールで述べた。

この問題を解決するには、セキュリティ チームが「マルウェアがこれらのキーを使用し始めた場合に侵害を監視するための非標準的な制御」を実装する必要がある可能性があると同氏は指摘します。 「シンプルなセキュリティ ソリューションがなければ、長期的には有害な攻撃ベクトルとなる可能性があります」とグッチオーネ氏は言います。

将来のファームウェアの問題

実際、セキュリティ専門家が漏洩について懸念しているのは長期的なものである。 彼らは、脅威アクターがインテル ブート ガード署名キーの入手可能性を狙って襲いかかる可能性が高く、今後数年間にわたってファームウェアのセキュリティに重大な問題を引き起こす可能性があると述べています。

「特にファームウェアでのみ更新できるもの（つまり、実行する人がほとんどいない）の署名キーの窃盗は、通常、公開から何年も後に事件が尾を引くことになる」と、セキュリティ企業 Netenrich の主任脅威ハンターである John Bambenek 氏は警告しました。および運用分析SaaS会社。

彼のコメントは良い点を指摘しています。古いデバイスのファームウェアに固有の脆弱性は、パッチ適用サイクルで見落とされることが多く、したがって脆弱な場合、広大で危険な攻撃対象領域となると、Cybrary 社の上級セキュリティ研究者であるマット マリンズ氏は指摘しています。

「一般に、ほとんどの人が UEFI やファームウェアにパッチを適用しないことを考えると、影響を受ける個人は、おそらくこれらのデバイスに適切にパッチを適用する方法を知らないでしょう」と彼は言います。 「これに関して悪意のある攻撃者に提供されるアクセスは、ある意味、SYSTEM シェルや root シェルを取得するよりも悪いものです。」

これは、署名キーにアクセスすると、カーネル レベル以下でのドライバー署名や悪意のあるアクティビティの検出などのシステム保護が「本質的に無効になるためです。悪意のあるブートキットがその前後で読み込まれる可能性があるためです」とマリンズ氏は言います。

「それ以下でロードすると、デバイスの整合性に関連する重要なプロセス (I/O 操作など) がハイジャックまたはバイパスされ、ファームウェアの適切なフラッシュやリロードが行われずに事実上、自身を永久的なものにしてしまう可能性があります」と同氏は述べています。

状況は悲惨に見えるかもしれないが、あるセキュリティ専門家は、影響を受けるMSIデバイスに対する全体的な脅威は「攻撃者が実行する必要がある手順のため、比較的低い」と指摘し、漏洩のニュースで表面化した不安を鎮めようとした。キーを悪用します。

「対照的に、多くの場合ファームウェアのデジタル署名が欠如しており、MSI デバイスよりもはるかに大規模に存在する IoT/OT デバイスについて考えてみましょう」と、自動化された IoT サイバー ハイジーンのプロバイダーである Viakoo の CEO、バド ブルームヘッド氏は述べています。

そうは言っても、この事件によるリスクを軽減したり防御したりする方法はある、と専門家は言う。

ブルームヘッド氏は、IoT/OT を含むすべてのデジタル資産に対して信頼できるプロセスを確保することが良いスタートとなると述べています。 一方、監視やネットワークアクセス制御などの他の形式の保護を使用すれば、漏洩した鍵の悪用を「より大規模な悪用を引き起こすことを防ぐ」のに役立つはずだと同氏は付け加えた。

また、今回の漏洩は、盗難のリスクを軽減するために、ファームウェアやその他の秘密鍵をコードから可能な限り分離して保管する必要があることを組織に思い出させるものとなるはずだとバンベネック氏は指摘する。

組織がファームウェア攻撃を防御するために講じることができる他の緩和策には、見落とされがちですが、明らかにパッチを適用することが含まれます。これは、「将来の潜在的な攻撃に対する主な最善の防御です」とマリンズ氏は言います。