Tin tặc rò rỉ khóa riêng cho các sản phẩm MSI, khiến việc tấn công chúng dễ dàng hơn
Tội phạm mạng có thể dễ dàng tấn công máy tính xách tay MSI hơn sau khi một nhóm ransomware làm rò rỉ khóa ký mã riêng cho các sản phẩm của công ty.
Nguồn rò rỉ quay trở lại một nhóm được gọi là Money Message, đã thông báo vào tháng trước rằng họ đã xâm nhập vào MSI và đánh cắp các tệp nhạy cảm của công ty, bao gồm cả mã nguồn bị cáo buộc. Money Message tuyên bố MSI từ chối trả tiền để giữ bí mật thông tin, vì vậy vào thứ Năm, họ đã đăng dữ liệu bị đánh cắp lên trang web của mình trên web tối.
Trang web của nhóm ransomware lưu trữ các tệp bị rò rỉ.
Công ty an ninh mạng Binarly phân tích(Mở ra trong một cửa sổ mới) các tệp bị rò rỉ và xác nhận rằng chúng chứa các khóa ký mã riêng cho chương trình cơ sở của MSI trên 57 sản phẩm. (Trang GitHub của nhị phân(Mở ra trong một cửa sổ mới) đề cập đến tên của tất cả các mô hình bị ảnh hưởng.)
Các khóa này rất quan trọng vì MSI sử dụng chúng để chứng nhận bản cập nhật chương trình cơ sở đến từ công ty. Nếu không, máy tính có thể gắn cờ phần mềm là không đáng tin cậy và có khả năng gây hại.
Giờ đây, những khóa bị rò rỉ này có thể rơi vào tay kẻ xấu và bị lạm dụng để ký phần mềm độc hại được ngụy trang dưới dạng phần mềm liên quan đến MSI. “Các khóa ký cho fw [firmware] image cho phép kẻ tấn công tạo ra các bản cập nhật chương trình cơ sở độc hại và nó có thể được phân phối thông qua các quy trình cập nhật BIOS thông thường bằng các công cụ cập nhật MSI,” Giám đốc điều hành Binarly Alex Matrosov nói với PCMag.
Có thể một bản cập nhật chương trình cơ sở độc hại có thể được gửi qua các trang web hoặc email giả mạo được ngụy trang dưới dạng MSI. Nhưng Matrosov cho biết vectơ tấn công chính liên quan đến các khóa riêng được sử dụng “như một tải trọng giai đoạn thứ hai” sau khi thỏa hiệp ban đầu xảy ra thông qua trình duyệt hoặc một cuộc tấn công lừa đảo dựa trên tài liệu. Hầu hết các hệ thống chống vi-rút sẽ giữ im lặng vì phần mềm độc hại đã được ký điện tử là thuộc về MSI và được công nhận là bản cập nhật chương trình cơ sở hợp pháp.
Vấn đề khác là rò rỉ cũng chứa các khóa ký riêng cho Intel Boot Guard(Mở ra trong một cửa sổ mới), có thể xác minh mã máy tính chính xác đang chạy khi PC khởi động lần đầu. Đã tìm thấy nhị phân các khóa riêng cho Intel Boot Guard trên 116 sản phẩm MSI. Nhưng công ty cũng lưu ý rằng Intel Boot Guard được sử dụng trong toàn ngành công nghệ.
“Các khóa Intel BootGuard bị rò rỉ [is] ảnh hưởng đến toàn bộ hệ sinh thái (không chỉ MSI) và khiến tính năng bảo mật này trở nên vô dụng,” Matrosov nói thêm.
MSI và Intel đã không trả lời ngay lập tức yêu cầu bình luận, khiến không rõ liệu họ có thể thu hồi các khóa ký riêng tư theo một cách nào đó hay không. Hiện tại, MSI chỉ cảnh báo(Mở ra trong một cửa sổ mới) rằng khách hàng chỉ nên cài đặt các bản cập nhật chương trình cơ sở và BIOS từ các trang web chính thức của công ty —không phải từ các nguồn của bên thứ ba.
Tuy nhiên, Matrosov lo ngại rằng MSI có ít lựa chọn để khắc phục sự cố. “Tôi nghĩ đối với MSI, đây sẽ là một tình huống phức tạp vì để cung cấp các khóa ký mới, họ vẫn cần sử dụng những khóa bị rò rỉ,” anh nói. “Tôi không tin rằng họ có bất kỳ cơ chế thu hồi nào.”
Giống như những gì bạn đang đọc?
Đăng ký cho an ninhxem bản tin về các câu chuyện bảo mật và quyền riêng tư hàng đầu của chúng tôi được gửi ngay đến hộp thư đến của bạn.
Bản tin này có thể chứa các liên kết quảng cáo, giao dịch hoặc liên kết. Đăng ký nhận bản tin cho biết bạn đồng ý với Điều khoản sử dụng và Chính sách quyền riêng tư của chúng tôi. Bạn có thể hủy đăng ký nhận bản tin bất cứ lúc nào.
Cảm ơn bạn đã đăng ký!
Đăng ký của bạn đã được xác nhận. Theo dõi hộp thư đến của bạn!
Đăng ký nhận các bản tin khác
No Comments