网络罪犯可以更容易地攻击MSI笔记本电脑ransomware团伙泄露了公司产品的私码签名密钥。
泄露信息的源头是一个叫“金钱信息”的组织宣布上个月,它渗透进了MSI并窃取了敏感的公司文件,包括据称的源代码。Money Message声称,MSI拒绝支付保密费用,因此在周四,它在其网站上的暗网上公布了被盗数据。
网络安全公司Binarly分析了(在新窗口中打开)并确认其中包含57种产品的MSI固件的私有代码签名密钥。(二进制的GitHub页面(在新窗口中打开)提到了所有受影响型号的名称。)
这些键很重要,因为MSI使用它们来验证来自公司的固件更新。否则,计算机会将该软件标记为不可信和潜在的恶意软件。
推特(在新窗口中打开)
现在,这些泄露的密钥可能会落入坏人之手,并被滥用于签名恶意软件伪装成msi相关软件。Binarly的首席执行官Alex Matrosov告诉PCMag:“fw[固件]映像的签名密钥允许攻击者制作恶意固件更新,它可以通过MSI更新工具的正常BIOS更新过程传递。”
恶意固件更新有可能通过假冒网站或伪装成MSI的电子邮件发送。但Matrosov表示,主要的攻击媒介包括在通过浏览器或基于文档的初始妥协发生后,将私钥用作“第二阶段有效载荷”钓鱼攻击。大多数杀毒系统将保持沉默,因为恶意软件将被数字签名为属于MSI,并被识别为合法的固件更新。
另一个问题是泄漏还包含用于的私有签名密钥英特尔启动保护(在新窗口中打开),它可以在PC首次启动时验证正在运行的计算机代码是否正确。Binarly在116个MSI产品中发现了Intel Boot Guard的私钥。但该公司也指出,英特尔Boot Guard在整个科技行业都在使用。
推特(在新窗口中打开)
Matrosov补充说:“英特尔BootGuard密钥泄漏[正在]影响整个生态系统(不仅仅是MSI),并使该安全功能变得无用。”
微星和英特尔没有立即回应置评请求,也不清楚它们是否能以某种方式撤销私人签名密钥。目前,MSI仅仅警告(在新窗口中打开)客户应该只从公司的官方网站上安装固件和BIOS更新,而不是从第三方来源。
尽管如此,Matrosov还是担心MSI解决这个问题的选择有限。“我认为对于MSI来说,这将是一个复杂的情况,因为他们仍然需要使用泄露的签名密钥来交付新的签名密钥,”他说。“我不认为他们有任何撤销机制。”
