روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ چه چیز می‌تواند بدتر از حمله باج‌افزار به شرکت باشد؟ می‌شود گفت رخدادی که کلاینت‌های شرکت شما را هدف قرار گیرد. درست است، این همان اتفاقی است که برای MSI این شرکت بزرگ تایوانی و تولیدکننده‌ی لپ‌تاپ، آداپتورهای ویدیویی و مادربورد افتاد. با ما همراه باشید.

اوایل ماه آوریل گفته شد این شرکت توسط گروه جدید باج‌افزاری به نام Money Message مورد حمله قرار گرفته است. کمی بعد باجگیران بخشی از اطلاعات سرقتی را در دارک‌نت منتشر کردند و بعد محققین در ماه می آزاردهنده‌ترین بُعد این نشت را کشف نمودند: کلیدهای خصوصی امضای سخت‌افزار و کلیدهای Intel Boot Guard عمومی شده بودند. MSI با توجه به این نشت شد خبر دسته اول خبرگزاری‌ها اما سعی کرد اطلاعات چندانی در این مورد ندهد (حتی سوژه کلیدها را نیز کامل در توضیحات خود حذف نمود). در ادامه قصد داریم کمی بیشتر این موضوع را بررسی کنیم...

کلیدهای Boot Guard و اینکه چطور از کامپیوتر شما محافظت می‌کنند؟

کامپیوتر شما حتی پیش از بوت شدن سیستم‌عاملش از تراشه مادربورد و بر اساس یک سری دستور، مجموعه عملیات‌هایی را انجام می‌دهد. در گذشته، این مکانیزم اسمش BIOS بود اما بعدها جای خود را به ساختار قابل‌بسط‌دهیِ UEFI داد. کد UEFI در سفت‌افزار ذخیره می‌شود اما ماژول‌های اضافی را می‌شود از پارتیشن ویژه هارد درایو لود کرد. سپس UEFI خود را در سیستم‌عامل بوت می‌کند. چنانچه UEFI به طور مخربی اصلاح شود، سیستم عامل، اپ‌های کاربر و همه سیستم‌های امنیتی تحت کنترل این کد مخرب بالا می‌آیند. مهاجمین خواهند توانست همه لایه‌های دفاعی بعدی را نیز دور بزنند؛ مانند بیت‌لاکر، سکیور بوت و سیستم‌های امنیتی در سطح سیستم عامل از جمله آنتی‌ویروس‌ها و EDR. چنین تهدیدهایی که به ایمپلنت‌های سطح BIOS ارجاع داده می‌شوند (همچنین گاهی بوت‌کیت‌های سخت‌افزاری) بسیار سخت شناسایی می‌شوند و حتی سخت‌تر این است از از شرشان خلاص شویم: شما نمی‌توانید با تعویض هارد دیسک و خریدن یکی جدید، از شر پی‌سی خود خلاص شوید. فروشنده کامپیوتر و سیستم عامل شما کلی سیف‌گارد توسعه داده تا در حد مکان عاملین تخریب نتوانند دست به ابداع تهدیدهای خطرناک بزنند. ابتدا اینکه برای آپدیت سفت‌افزار و اضافه کردن افزونه به UEFI فرد نیاز دارد اپی امضاشده توسط فروشنده داشته باشد: Intel BIOS Guard نمی‌گذارد UEFI از اپ‌های غیرمطمئن آپدیت شود یا از سفت‌افزارهای امضانشده استفاده کند. دوم اینکه یک مکانیزم اعتبارسنجی سخت‌افزاری به نام Boot Guard وجود دارد. این فناوری امضای بخش باز UEFI (Initial Boot Block) را بررسی کرده و اگر سفت‌افزار دستکاری شده باشد، بوت کامپیوتر را لغو می‌کند. کلیدهای کریپتوگرافیک Boot Guard استفاده‌شده جهت اعتبارسنجی این مکانیزم‌های محافظتی در یک مموری یک بار نوشتاری[1] ذخیره می‌شوند- بدین‌معنا که آن‌ها نمی‌توانند پاک یا از نو نوشته شوند (به عبارت دیگر نمی‌توانند جعل یا جایگزین شوند) و در عین حال نیز نمی‌توانند در صورت دستکاری شدن لغو گردند.

نشت کلید MSI چرا باید تا این حد خطرناک باشد؟

نشت کلیدهای امضای سفت‌افزار ممکن است باعث شود عاملین تخریب ابزارهای به روز و سیستم‌های سرکشی را درست کنند که قادر باشند به طرز موفقیت‌آمیزی از اعتبارسنجی‌ها عبور کرده و حتی پتانسیل آپدیت کردن میکروبرنامه‌ها روی مادربوردهای MSI را نیز داشته باشند. چنین کلیدهایی می‌توانند لغو شوند پس بعد از مدتی (در واقع داریم از ماه‌ حرف می‌زنیم اگر البته به سال نکشد!) این مشکل بی‌ربط جلوه خواهد کرد- اگر آپدیت‌های قانونی به طور امنی به کار روند. وضعیت با کلیدهای بوت گارد بدتر می‌شود زیرا اینها را لغونشدنی‌اند. افزون بر این، به نقل از Binarly این کلیدها می‌توانند حتی در برخی محصولات تولیدشده توسط فروشندگانی غیر از MSI استفاده شوند. این زنجیزه اعتماد بوت امن را برای همه محصولاتی که به این کلیدها تکیه کرده‌اند خراب می‌کند و می‌گذارد دارندگان دستگاه هیچ گزینه‌ای غیر از روی آوردن به اقدامات محافظتی طرف‌سوم و پیش گرفتن همین رویه تا وقتی محصولات دیگر استفاده نشوند نداشته باشند.

توصیه‌هایی برای کاربران دستگاه‌های MSI

 ابتدا چک کنید ببینید کامپیوترهای شما در خطر هستند یا نه. اگر کامپیوتر یا لپ‌تاپ MSI دارید تهدید در کمین است اما حتی اگر کامپیوتر از فروشنده دیگری هم هست ممکن است هنوز مادربورد از MSI باشد. پس توصیه می‌کنیم:

•         System Information را در خط سرچ ویندوز تایپ کنید تا موقعیتش پیدا شود و سپس اجرایش کنید.
•         زیر گزینه  System summary اسکرول کنید تا به Motherboard manufacturer یا BaseBoard manufacturer برسید. اگر می‌گوید MSI  یا Micro-Star International تهدید به شما مربوط است.

لطفاً در نظر داشته باشید MSI صدها محصول تولید می‌کند و کلیدهای نشت‌شده روی همه آن‌ها قرار نیست تأثیر بگذارد. فهرست بلندبالای محصولات آلوده‌شده در اینجا آورده شده است. اما نمی‌شود جامعیت یا دقت این فهرست را تضمین کرد. بهترین توصیه این است که فرض را بر این بگذارید همه بوردهای فعلی MSI می‌توانند مورد حمله قرار گیرند.

اگر در معرض تهدید قرار گرفته باشید، هنگام به‌روزرسانی برنامه‌های کاربردی، درایورها و سیستم‌افزار اختصاصی خود باید به شدت مراقب این خطر باشید. اینها را فقط از وبسایت رسمی www.msi.com با تایپ دستی آدرس در مرورگر دانلود کنید — نه با دنبال کردن لینک در ایمیل‌ها، رشته‌های پیام‌رسان یا سایر وب‌سایت‌ها. ما همچنین به شما توصیه می‌کنیم که مراقب آپدیت‌های وبسایت MSI باشید: این موارد را نباید نادیده گرفت. کاملاً ممکن است که MSI راهی برای لغو برخی از کلیدهای لو رفته یا جلوگیری از استفاده از آنها ابداع کند.

علاوه بر این، مطمئن شوید که از رایانه MSI به عنوان ادمین استفاده نمی‌کنید و مطمئن شوید که مجهز به محافظت قابل اعتماد در برابر فیشینگ و بدافزار است.

توصیه‌هایی برای ادمین‌های آی‌تی

ریسک ایمپلنت‌های UEFI بر اساس نشت‌های MSI با پیچیدگی نصبشان سر به سر می‌شود. این پیچیدگی شامل دسترسی ادمین به کامپیوتر تارگت به همراه کلی اپ به روزرسانی سفت‌افزار می‌شود. پس اثر این مشکل را می‌شود با سرکوب این اپ‌ها در سطح خط‌مشی گروهی و با تضمین اینکه اصل اقل مزیت روی همه کامپیوترهای داخل سازمان حکم‌فرماست کاهش داد. با این وجود احتمال دارد در آینده ابزارهای تخصصی هکری وارد میدان شوند و از کلیدهای سرقتی و مبهم‌سازی کافی برای مخفی کردن آپدیت‌های سفت‌افزاری استفاده کنند! به منظور کاهش این ریسک باید شناسایی کلیدهای نشت‌شده را روی ماشین‌های سازمانی امتحان کرد. این توصیه‌ بیشتر مناسب شرکت‌هایی است که در تسک‌فورس امنیت اطلاعات خود از شکارچیان تهدید کمک می‌گیرند. البته این مشکل همچنین با یک سری اقدامات کلی نیز مدیریت می‌شود: محافظت از اندپوینت و شبکه منسجم، آپدیت منظم اپ‌های تجاری و خط‌مشی سیستم برای مدیریت پچ.

توصیه‌هایی برای توسعه‌دهندگان

نمونه MSI نشان می‌دهد چطور از حیث امنیت اطلاعات و DevSecOps نگه داشتن رازها روی کامپیوترها یا کنار و یا داخل کدی که از آن‌ها استفاده می‌کنند غیرقابل‌قبول است. راهکارهای مخصوصی برای مدیریت متمرکز راز وجود دارد؛ برای مثال  HashiCorp Vault. اما حتی توسعه‌دهنده‌های کوچک‌تر هم می‌توانند محافظت سیستم خود را تقبل کنند (مانند ذخیره‌گاه درایو رمزگذاری‌شده‌ی قابل‌تعویض که فقط تا زمان طول کشیدن انتشار یک اپ متصل می‌ماند). در مورد شرکت‌هایی به ابعاد شرکت MSI نیز باید بگوییم همیشه می‌بایست داده‌های محرمانه را برای خود نگه دارند- چیزهایی از قبیل کلیدهای امضای درایور یا اپ؛ چه برسد به کلیدهای امضای سفت‌افزاری-در واحدهای تخصصی سخت‌افزاری تولید امضا (HSM) یا دست کم در یک محیط امن و خاص در رایانه‌هایی که کاملاَ از بقیه شبکه ایزوله هستند.

[1] write-once memory

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.