روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ چه چیز میتواند بدتر از حمله باجافزار به شرکت باشد؟ میشود گفت رخدادی که کلاینتهای شرکت شما را هدف قرار گیرد. درست است، این همان اتفاقی است که برای MSI این شرکت بزرگ تایوانی و تولیدکنندهی لپتاپ، آداپتورهای ویدیویی و مادربورد افتاد. با ما همراه باشید.
اوایل ماه آوریل گفته شد این شرکت توسط گروه جدید باجافزاری به نام Money Message مورد حمله قرار گرفته است. کمی بعد باجگیران بخشی از اطلاعات سرقتی را در دارکنت منتشر کردند و بعد محققین در ماه می آزاردهندهترین بُعد این نشت را کشف نمودند: کلیدهای خصوصی امضای سختافزار و کلیدهای Intel Boot Guard عمومی شده بودند. MSI با توجه به این نشت شد خبر دسته اول خبرگزاریها اما سعی کرد اطلاعات چندانی در این مورد ندهد (حتی سوژه کلیدها را نیز کامل در توضیحات خود حذف نمود). در ادامه قصد داریم کمی بیشتر این موضوع را بررسی کنیم...
کلیدهای Boot Guard و اینکه چطور از کامپیوتر شما محافظت میکنند؟
کامپیوتر شما حتی پیش از بوت شدن سیستمعاملش از تراشه مادربورد و بر اساس یک سری دستور، مجموعه عملیاتهایی را انجام میدهد. در گذشته، این مکانیزم اسمش BIOS بود اما بعدها جای خود را به ساختار قابلبسطدهیِ UEFI داد. کد UEFI در سفتافزار ذخیره میشود اما ماژولهای اضافی را میشود از پارتیشن ویژه هارد درایو لود کرد. سپس UEFI خود را در سیستمعامل بوت میکند. چنانچه UEFI به طور مخربی اصلاح شود، سیستم عامل، اپهای کاربر و همه سیستمهای امنیتی تحت کنترل این کد مخرب بالا میآیند. مهاجمین خواهند توانست همه لایههای دفاعی بعدی را نیز دور بزنند؛ مانند بیتلاکر، سکیور بوت و سیستمهای امنیتی در سطح سیستم عامل از جمله آنتیویروسها و EDR. چنین تهدیدهایی که به ایمپلنتهای سطح BIOS ارجاع داده میشوند (همچنین گاهی بوتکیتهای سختافزاری) بسیار سخت شناسایی میشوند و حتی سختتر این است از از شرشان خلاص شویم: شما نمیتوانید با تعویض هارد دیسک و خریدن یکی جدید، از شر پیسی خود خلاص شوید. فروشنده کامپیوتر و سیستم عامل شما کلی سیفگارد توسعه داده تا در حد مکان عاملین تخریب نتوانند دست به ابداع تهدیدهای خطرناک بزنند. ابتدا اینکه برای آپدیت سفتافزار و اضافه کردن افزونه به UEFI فرد نیاز دارد اپی امضاشده توسط فروشنده داشته باشد: Intel BIOS Guard نمیگذارد UEFI از اپهای غیرمطمئن آپدیت شود یا از سفتافزارهای امضانشده استفاده کند. دوم اینکه یک مکانیزم اعتبارسنجی سختافزاری به نام Boot Guard وجود دارد. این فناوری امضای بخش باز UEFI (Initial Boot Block) را بررسی کرده و اگر سفتافزار دستکاری شده باشد، بوت کامپیوتر را لغو میکند. کلیدهای کریپتوگرافیک Boot Guard استفادهشده جهت اعتبارسنجی این مکانیزمهای محافظتی در یک مموری یک بار نوشتاری[1] ذخیره میشوند- بدینمعنا که آنها نمیتوانند پاک یا از نو نوشته شوند (به عبارت دیگر نمیتوانند جعل یا جایگزین شوند) و در عین حال نیز نمیتوانند در صورت دستکاری شدن لغو گردند.
نشت کلید MSI چرا باید تا این حد خطرناک باشد؟
نشت کلیدهای امضای سفتافزار ممکن است باعث شود عاملین تخریب ابزارهای به روز و سیستمهای سرکشی را درست کنند که قادر باشند به طرز موفقیتآمیزی از اعتبارسنجیها عبور کرده و حتی پتانسیل آپدیت کردن میکروبرنامهها روی مادربوردهای MSI را نیز داشته باشند. چنین کلیدهایی میتوانند لغو شوند پس بعد از مدتی (در واقع داریم از ماه حرف میزنیم اگر البته به سال نکشد!) این مشکل بیربط جلوه خواهد کرد- اگر آپدیتهای قانونی به طور امنی به کار روند. وضعیت با کلیدهای بوت گارد بدتر میشود زیرا اینها را لغونشدنیاند. افزون بر این، به نقل از Binarly این کلیدها میتوانند حتی در برخی محصولات تولیدشده توسط فروشندگانی غیر از MSI استفاده شوند. این زنجیزه اعتماد بوت امن را برای همه محصولاتی که به این کلیدها تکیه کردهاند خراب میکند و میگذارد دارندگان دستگاه هیچ گزینهای غیر از روی آوردن به اقدامات محافظتی طرفسوم و پیش گرفتن همین رویه تا وقتی محصولات دیگر استفاده نشوند نداشته باشند.
توصیههایی برای کاربران دستگاههای MSI
ابتدا چک کنید ببینید کامپیوترهای شما در خطر هستند یا نه. اگر کامپیوتر یا لپتاپ MSI دارید تهدید در کمین است اما حتی اگر کامپیوتر از فروشنده دیگری هم هست ممکن است هنوز مادربورد از MSI باشد. پس توصیه میکنیم:
- System Information را در خط سرچ ویندوز تایپ کنید تا موقعیتش پیدا شود و سپس اجرایش کنید.
- زیر گزینه System summary اسکرول کنید تا به Motherboard manufacturer یا BaseBoard manufacturer برسید. اگر میگوید MSI یا Micro-Star International تهدید به شما مربوط است.
لطفاً در نظر داشته باشید MSI صدها محصول تولید میکند و کلیدهای نشتشده روی همه آنها قرار نیست تأثیر بگذارد. فهرست بلندبالای محصولات آلودهشده در اینجا آورده شده است. اما نمیشود جامعیت یا دقت این فهرست را تضمین کرد. بهترین توصیه این است که فرض را بر این بگذارید همه بوردهای فعلی MSI میتوانند مورد حمله قرار گیرند.
اگر در معرض تهدید قرار گرفته باشید، هنگام بهروزرسانی برنامههای کاربردی، درایورها و سیستمافزار اختصاصی خود باید به شدت مراقب این خطر باشید. اینها را فقط از وبسایت رسمی www.msi.com با تایپ دستی آدرس در مرورگر دانلود کنید — نه با دنبال کردن لینک در ایمیلها، رشتههای پیامرسان یا سایر وبسایتها. ما همچنین به شما توصیه میکنیم که مراقب آپدیتهای وبسایت MSI باشید: این موارد را نباید نادیده گرفت. کاملاً ممکن است که MSI راهی برای لغو برخی از کلیدهای لو رفته یا جلوگیری از استفاده از آنها ابداع کند.
علاوه بر این، مطمئن شوید که از رایانه MSI به عنوان ادمین استفاده نمیکنید و مطمئن شوید که مجهز به محافظت قابل اعتماد در برابر فیشینگ و بدافزار است.
توصیههایی برای ادمینهای آیتی
ریسک ایمپلنتهای UEFI بر اساس نشتهای MSI با پیچیدگی نصبشان سر به سر میشود. این پیچیدگی شامل دسترسی ادمین به کامپیوتر تارگت به همراه کلی اپ به روزرسانی سفتافزار میشود. پس اثر این مشکل را میشود با سرکوب این اپها در سطح خطمشی گروهی و با تضمین اینکه اصل اقل مزیت روی همه کامپیوترهای داخل سازمان حکمفرماست کاهش داد. با این وجود احتمال دارد در آینده ابزارهای تخصصی هکری وارد میدان شوند و از کلیدهای سرقتی و مبهمسازی کافی برای مخفی کردن آپدیتهای سفتافزاری استفاده کنند! به منظور کاهش این ریسک باید شناسایی کلیدهای نشتشده را روی ماشینهای سازمانی امتحان کرد. این توصیه بیشتر مناسب شرکتهایی است که در تسکفورس امنیت اطلاعات خود از شکارچیان تهدید کمک میگیرند. البته این مشکل همچنین با یک سری اقدامات کلی نیز مدیریت میشود: محافظت از اندپوینت و شبکه منسجم، آپدیت منظم اپهای تجاری و خطمشی سیستم برای مدیریت پچ.
توصیههایی برای توسعهدهندگان
نمونه MSI نشان میدهد چطور از حیث امنیت اطلاعات و DevSecOps نگه داشتن رازها روی کامپیوترها یا کنار و یا داخل کدی که از آنها استفاده میکنند غیرقابلقبول است. راهکارهای مخصوصی برای مدیریت متمرکز راز وجود دارد؛ برای مثال HashiCorp Vault. اما حتی توسعهدهندههای کوچکتر هم میتوانند محافظت سیستم خود را تقبل کنند (مانند ذخیرهگاه درایو رمزگذاریشدهی قابلتعویض که فقط تا زمان طول کشیدن انتشار یک اپ متصل میماند). در مورد شرکتهایی به ابعاد شرکت MSI نیز باید بگوییم همیشه میبایست دادههای محرمانه را برای خود نگه دارند- چیزهایی از قبیل کلیدهای امضای درایور یا اپ؛ چه برسد به کلیدهای امضای سفتافزاری-در واحدهای تخصصی سختافزاری تولید امضا (HSM) یا دست کم در یک محیط امن و خاص در رایانههایی که کاملاَ از بقیه شبکه ایزوله هستند.
[1] write-once memory
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.