Naon anu tiasa langkung parah tibatan serangan ransomware ka perusahaan anjeun? Ngan hiji kajadian anu lumangsung ka klien parusahaan anjeun, Jigana. Nya, éta kasus pikeun MSI – produsén utama Taiwanese laptop, adaptor pidéo, sareng motherboards. Dina awal April, warta peupeus yén pausahaan ieu dina serangan ku geng ransomware anyar disebut Money Message; saeutik engké nu meres ngaluarkeun a sababaraha inpormasi anu dipaling dina jaringan poék; lajeng, dina Méi, peneliti uncovered aspék paling disturbing of bocor – nyaéta aspék pribadi konci Signing firmware sareng konci Intel Boot Guard geus diterbitkeun. MSI ngumumkeun ngeunaan bocorna, tapi masihan sakedik inpormasi – bahkan ngaleungitkeun subjek konci sadayana. Di dieu, kami nyobian masihan anjeun langkung seueur konteks…
Konci Boot Guard, sareng kumaha aranjeunna ngajagi komputer anjeun
Malah saméméh sistem operasi dimimitian, komputer Anjeun ngalakukeun loba operasi preparatory dumasar kana parentah ti chip motherboard. Baheula, mékanisme éta disebut BIOS, dugi ka diganti ku arsitéktur UEFI anu tiasa diperpanjang. Kodeu UEFI disimpen dina firmware, tapi modul tambahan tiasa dimuat tina partisi hard drive khusus. Saterusna, UEFI boot sistem operasi sorangan. Upami UEFI dirobih sacara jahat, sistem operasi, aplikasi pangguna sareng sadaya sistem kaamanan bakal ngamimitian dina kadali kode jahat. Panyerang bakal tiasa ngagiling sadaya lapisan pertahanan salajengna, kalebet BitLocker, Secure Boot, sareng sistem kaamanan tingkat OS, sapertos anti-virus sareng EDR.
Disebut salaku implants BIOS-tingkat (kadangkala ogé “bootkits hardware”), ancaman sapertos incredibly teuas pikeun ngadeteksi – komo harder dihapus: Anjeun teu bisa ngabersihan PC Anjeun malah ku ngaganti hard drive anjeun ku brand anyar.
Ngajual komputer sareng OS parantos ngembangkeun rupa-rupa panjagaan supados langkung hésé pikeun aktor ancaman ngarancang ancaman jahat. Kahiji, pikeun ngapdet firmware sareng nambihan UEFI, anjeun peryogi aplikasi anu ditandatanganan ku vendor: Intel BIOS Guard henteu ngijinkeun apdet UEFI tina aplikasi anu teu dipercaya atanapi nganggo firmware anu henteu ditandatanganan. Kadua, aya mékanisme verifikasi hardware anu disebut Boot Guard. Téknologi pariksa tanda tangan muka UEFI (IBB – Blok Boot Awal) sareng ngabatalkeun boot komputer upami firmware parantos dirobih. Konci kriptografi Boot Guard anu dianggo pikeun pariksa mékanisme panyalindungan ieu disimpen dina mémori anu ditulis-sakali, hartosna henteu tiasa dihapus atanapi ditulis deui (anu hartosna henteu tiasa dipalsukan atanapi dirobih), sedengkeun dina waktos anu sami henteu tiasa dicabut. .lamun disusupkeun!
Naon bahaya bocor konci MSI?
Bocoran konci nandatanganan firmware ngamungkinkeun aktor ancaman pikeun ngawangun firmware jahat sareng ngapdet utilitas anu tiasa suksés ngalangkungan verifikasi kalayan poténsi pikeun ngapdet mikroprogram dina motherboards MSI. Konci sapertos kitu tiasa dicabut, janten saatos sababaraha waktos (saleresna, urang nyarios sasih bulan upami henteu taun!) Masalahna bakal teu relevan – upami pembaruan anu sah diterapkeun dina cara anu aman. Kaayaanana langkung parah ku konci Boot Guard, sabab teu tiasa dicabut. Sumawona, numutkeun Binarly, konci ieu bahkan tiasa dianggo dina sababaraha produk anu diproduksi ku padagang sanés ti MSI. Ieu ngaganggu ranté boot aman tina kapercayaan pikeun sadaya produk anu ngandelkeun konci ieu, sahingga pamilik alat henteu aya pilihan tapi ningkatkeun ukuran panyalindungan pihak katilu sareng teras dianggo dugi ka produkna dihentikan.
Tips pikeun pamaké alat MSI
Mimiti, pariksa naha komputer anjeun kaancam. Upami Anjeun gaduh komputer MSI atawa laptop, anceman aya, tapi malah komputer ti ngical paralatan séjén bisa boga motherboard MSI. Ieu kumaha anjeun tiasa pariksa ieu:
- Ketik “Inpormasi Sistem” kana bar teang Windows pikeun milarian sareng ngajalankeunana
- Sahandapeun Tinjauan sistem ngagulung ka handap produsén motherboard atawa produsén baseboard. Upami éta nyarios MSI atanapi Micro-Star International, ancaman éta relevan pikeun anjeun.
Punten dicatet yén MSI ngadamel ratusan produk, sareng konci anu bocor henteu mangaruhan sadayana. Daptar produk pangpanjangna anu kapangaruhan ku ancaman aya di dieu, tapi urang henteu tiasa ngabuktoskeun kasampurnaan atanapi akurasina. Pangalusna anjeun nyaéta pikeun ati-ati sareng teraskeun tina anggapan yén sadaya papan MSI ayeuna tiasa ditargetkeun ku panyerang.
Upami kakeunaan ancaman, anjeun kedah ati-ati pisan ngeunaan résiko nalika ngapdet utilitas, supir, sareng firmware anjeun. Unduh ngan tina situs wéb resmi www.msi.com ku cara ngetik alamatna sacara manual kana browser — sanés ku nuturkeun tautan tina email, utas messenger, atanapi halaman wéb sanés. Kami ogé mamatahan anjeun pikeun nengetan apdet dina situs wéb MSI: aranjeunna henteu kedah dipaliré. Kamungkinan pisan yén MSI bakal mendakan cara pikeun nyabut sababaraha konci anu bocor atanapi nyegah panggunaanana.
Ogé, pastikeun teu make komputer MSI salaku pangurus, sarta pastikeun aranjeunna dilengkepan panyalindungan dipercaya tina phishing jeung malware.
Tip pikeun pangurus IT
Résiko implan UEFI dumasar kana bocor MSI langkung seueur diimbangi ku pajeulitna pamasanganna, anu ngalibatkeun aksés administrasi ka komputer target sareng seueur aplikasi update firmware anu flashy. Janten masalahna tiasa dileungitkeun ku cara ngahambat aplikasi ieu dina tingkat kabijakan grup sareng ku mastikeun yén prinsip hak istimewa sahenteuna dikuatkeun dina sadaya komputer dina organisasi anjeun. Sanajan kitu, eta kamungkinan yén dina mangsa nu bakal datang parabot Hacking custom bakal datang kana antrian nu bakal ngagunakeun konci dipaling sarta obfuscation cukup pikeun nyumputkeun apdet firmware. Pikeun ngirangan résiko ieu, pertimbangkeun ékspérimén sareng deteksi konci anu bocor dina mesin perusahaan – rekomendasi anu langkung cocog pikeun perusahaan anu ngagunakeun pemburu ancaman dina pasukan tugas kaamanan inpormasi.
Tangtu, masalah ogé bisa mitigated ngaliwatan prakték umum alus: tungtung terpadu jeung perlindungan jaringan, update timely tina aplikasi bisnis, sarta kawijakan sistem pikeun manajemén patch.
Tips pikeun pamekar
Conto MSI nyorot kumaha teu tiasa ditampi tina kaamanan inpormasi sareng istilah DevSecOps pikeun nyimpen rahasia (utamana anu sesah dirotasi) dina komputer di gigireun atanapi dina kode anu ngagunakeunana.
Aya solusi husus pikeun manajemén rusiah terpusat – contona, HashiCorp Vault – tapi malah pamekar leutik bisa meuli sistem panyalindungan basajan sorangan, kayaning gudang drive removable énkripsi nu nyambung ngan salami diperlukeun pikeun nyebarkeun hiji aplikasi.
Pikeun perusahaan saukuran MSI, aranjeunna kedah nyimpen data rahasiana – sapertos aplikasi sareng konci panandatanganan supir, sumawona konci panandatanganan firmware – dina unit hardware generasi tanda tangan khusus (HSM) atanapi sahenteuna dina perimeter aman khusus dina komputer anu lengkep terasing ti sésana. jaringan.
#Perlindungan #ngalawan #firmware #anu #ditandatanganan #konci #MSI #anu #dipaling