0 0 Uma intrusão de ransomware na fabricante de hardware Micro-Star International, mais conhecida como MSI, está alimentando preocupações de ataques devastadores à cadeia de suprimentos que podem injetar atualizações maliciosas que foram assinadas com chaves de assinatura da empresa que são confiáveis por uma enorme base de dispositivos de usuários finais, disse um pesquisador.
“É como um cenário apocalíptico em que é muito difícil atualizar os dispositivos simultaneamente, e eles permanecem por um tempo sem atualização e usarão a chave antiga para autenticação”, disse Alex Matrosov, CEO, chefe de pesquisa e fundador da empresa de segurança Binarly, em entrevista. “É muito difícil de resolver, e não acho que a MSI tenha qualquer solução de backup para realmente bloquear as chaves vazadas.”
Chave vazada + sem revogação = receita para desastre
A invasão veio à tona em abril, quando, conforme relatado pela primeira vez pelo Bleeping Computer, o portal de extorsão do grupo de ransomware Money Message listou a MSI como uma nova vítima e publicou capturas de tela que supostamente mostravam pastas contendo chaves de criptografia privadas, código-fonte e outros dados. Um dia depois, a MSI emitiu um comunicado dizendo que havia “sofrido um ataque cibernético em parte de seus sistemas de informação”. O comunicado pediu aos clientes que obtivessem atualizações apenas do site da MSI. Ele não fez menção a chaves vazadas.
Desde então, Matrosov analisou dados que foram divulgados no site Money Message na dark web. Para seu alarme, foram incluídas no acervo duas chaves de criptografia privadas. A primeira é a chave de assinatura que assina digitalmente as atualizações de firmware da MSI para provar criptograficamente que elas são legítimas da MSI, em vez de um impostor mal-intencionado de um agente de ameaças.
Isso levanta a possibilidade de que a chave vazada possa enviar atualizações que infectariam as regiões mais comuns de um computador sem disparar um aviso. Para piorar a situação, disse Matrosov, a MSI não tem um processo de correção automatizado como a Dell, a HP e muitos fabricantes de hardware maiores. Consequentemente, a MSI não fornece o mesmo tipo de recursos de revogação de chave.
“É muito ruim. Isso não acontece com frequência”, disse. “Eles precisam prestar muita atenção a esse incidente porque há implicações de segurança muito sérias aqui.”
Aumentando a preocupação, a MSI até o momento manteve silêncio de rádio sobre o assunto. Representantes da empresa não responderam a e-mails pedindo comentários e perguntando se a empresa planejava emitir orientações para seus clientes.
Na última década, os ataques à cadeia de suprimentos entregaram cargas maliciosas a milhares de usuários em um único incidente, quando as vítimas não fizeram nada além de instalar uma atualização validamente assinada, no compromisso de 2019 do sistema de construção e distribuição de software para a SolarWinds, um serviço de gerenciamento de rede baseado em nuvem.
Com o controle da chave privada usada para certificar atualizações legítimas, a unidade de hackers apoiada pelo Kremlin conhecida como APT29 e Cozy Bear, que se acredita fazer parte do Serviço de Inteligência Estrangeira da Rússia, infectou mais de 18.000 clientes com um primeiro estágio de malware. Dez agências federais e cerca de 100 empresas privadas receberam cargas úteis subsequentes que instalaram backdoors para uso em espionagem.
Em março, a empresa de telefonia 3CX, fabricante do popular software VoIP usado por mais de 600.000 organizações em 190 países, divulgou uma violação de seu sistema de compilação. Os hackers por trás dessa invasão, que trabalham em nome do governo norte-coreano, de acordo com os pesquisadores, usaram seu ponto de apoio para entregar atualizações maliciosas a um número desconhecido de clientes.
A empresa de segurança Mandiant relatou mais tarde que o comprometimento do 3CX resultou de ele ter sido infectado por meio de um ataque à cadeia de suprimentos contra a desenvolvedora de software Trading Technologies, fabricante do programa de negociação financeira X_Trader 3CX usado.
Não há relatos de ataques à cadeia de suprimentos direcionados a clientes da MSI. Obter o tipo de controle necessário para comprometer um sistema de construção de software é geralmente um evento não trivial que requer muita habilidade e, possivelmente, alguma sorte. Como a MSI não tem um mecanismo de atualização automatizado ou um processo de revogação, a barra provavelmente seria menor, no entanto.
Seja qual for a dificuldade, a posse da chave de assinatura que a MSI usa para verificar criptograficamente a autenticidade de seus arquivos de instalação reduz significativamente o esforço e os recursos necessários para realizar um ataque eficaz à cadeia de suprimentos.
“O pior cenário é se os invasores obtiverem não apenas acesso às chaves, mas também puderem distribuir essa atualização maliciosa [usando essas chaves]”, disse Matrosov.
Em um comunicado, o Centro Nacional de Cibersegurança, com sede na Holanda, não descartou a possibilidade.
“Como o abuso bem-sucedido é tecnicamente complexo e, em princípio, requer acesso local a um sistema vulnerável, o NCSC considera o risco de abuso pequeno”, escreveram os funcionários do NCSC. “No entanto, não é inconcebível que as chaves vazadas sejam usadas indevidamente em ataques direcionados. O NCSC ainda não está ciente de quaisquer indícios de uso indevido do material de chave vazado.”
Agravando a ameaça, os hackers do Money Message também adquiriram uma chave de criptografia privada usada em uma versão do Intel Boot Guard que a MSI distribui para seus clientes. Muitos outros fabricantes de hardware usam chaves diferentes que não são afetadas. Em um e-mail, um porta-voz da Intel escreveu:
A Intel está ciente desses relatórios e investigando ativamente. Houve alegações de pesquisadores de que as chaves de assinatura privadas estão incluídas nos dados, incluindo as chaves de assinatura OEM MSI para o Intel BootGuard. Deve-se notar que as chaves OEM do Intel BootGuard são geradas pelo fabricante do sistema, e estas não são chaves de assinatura Intel.
Acesso de longo alcance
Intel Boot Guard é construído no hardware Intel moderno e é projetado para impedir o carregamento de firmware malicioso geralmente na forma de um bootkit UEFI. Este malware reside em silício embutido em uma placa-mãe, é difícil, se não impossível de detectar, e é a primeira coisa a ser executada cada vez que um computador é ligado. As infecções UEFI permitem que o malware seja carregado antes que o sistema operacional comece a ser executado, tornando possível ignorar as proteções e ocultar melhor a proteção de ponto de extremidade de segurança.
A posse das duas chaves aumenta ainda mais a ameaça no pior cenário. O comunicado de quarta-feira do NCSC explicou:
Intel Boot Guard é uma tecnologia desenvolvida pela Intel. O Intel Boot Guard verifica se o firmware de uma motherboard foi assinado digitalmente pelo fornecedor durante o processo de inicialização do sistema. O vazamento do Intel Boot Guard e das chaves de firmware da MSI permite que um invasor assine automaticamente o firmware mal-intencionado. Um invasor com acesso (em princípio local) a um sistema vulnerável pode instalar e executar esse firmware. Isso dá ao invasor amplo acesso ao sistema, ignorando todas as medidas de segurança sobrepostas. Por exemplo, o invasor obtém acesso aos dados armazenados no sistema ou pode usar o acesso para realizar novos ataques.
A fabricante de chips Intel informou ao NCSC que as chaves privadas vazadas são específicas da MSI e, portanto, só podem ser usadas para sistemas MSI. No entanto, as placas-mãe MSI podem ser incorporadas a produtos de outros fornecedores. Como resultado, o abuso das chaves vazadas também pode ocorrer nesses sistemas. Consulte “Soluções possíveis” para obter mais informações sobre os sistemas afetados.
Por enquanto, as pessoas que usam hardware afetado – que até agora parece estar limitado apenas a clientes MSI ou possivelmente terceiros que revendem hardware MSI – devem ter cuidado extra com quaisquer atualizações de firmware, mesmo que estejam validamente assinadas.
FONTE: ARS TECHNICA
