作者:HardcoreMatrix团队

编辑:安全内参社区

2023年3月,Money Message勒索团伙针对微星(MSI)公司的网络攻击成功后,泄露了MSI的一些内部资料,其中包括BootGuard私钥等敏感数据。BootGuard安全机制是Intel硬件信任体系中重要的组成部分,而其私钥被泄露,预示着对于某些型号的设备,BootGuard这一主要的安全机制将被绕过。同时,泄露资料中还包括UEFI固件镜像签名密钥。

主板UEFI固件是计算机体系中的底层关键软件,而BootGuard是Intel安全体系中基于硬件信任根的重要完整性保护机制,它和CPU microcode、CSME组成了Intel体系中最核心的安全保障机制。如果BootGuard被成功攻击,或攻击者取得OEM/ODM厂商的BootGuard私钥,则攻击者可以利用UEFI的实现缺陷、底层配置错误等方式并结合其他漏洞,可以完全绕过或对抗几乎所有已知安全机制,突破系统重重防御措施,如:SMM_BWP、BWE/BLE、PRx硬件安全机制,以及SecureBoot,HCVI、PatchGuard、kASLR、KDEP、SMEP、SMAP等内核安全防护技术;以及各类主流杀毒软件和EDR/XDR系统,获得对设备的持久性控制。

HardcoreMatrix团队经过深入研究,并重写了部分缺失的厂商内部工具,针对MSI modern-15-b12m设备(intel第12代CPU: i5-1235u)成功实现了BootGuard私钥重签名、胶囊更新重签名,以及SMM Rootkit等完整攻击链,以此展示此类供应链威胁的严重性,详细内容请见演示视频。事实证明,MSI资料泄露所带来的供应链威胁是真实的,严重的,可操作的。

我们认为,本次MSI资料泄露是严重的攻击事件。由于BootGuard私钥的特殊性(公钥hash固化在FPFs中),其属于最基本的信任根之一,暂时无法修补,这将造成众多型号的设备面临长期的安全威胁。

基于上述研究成果,HardcoreMatrix团队和安全内参社区共同面向国内政企机构给出了风险防范建议。

问:此次MSI资料泄露事件带来的UEFI Bootkit攻击链影响范围有多大?

答:主要包括附录A中的上百款微星型号,不涉及其他品牌。

问:使用受影响的微星型号设备,会有什么影响?

答:可无感知突破设备现有安全防护,获取设备的持久性控制。

问:更新系统能解决问题吗?

答:由于BootGuard公钥hash固化在FPFs中,属于最基本的信任根之一,暂时无法修补,这将造成众多型号的设备面临长期的安全威胁。

问:政企机构可能因此面临哪些风险?

答:使用附录A列出的微星设备,相比其他型号的设备存在较高的底层UEFI后门驻留风险。

问:政企机构该如何应对相关风险?

答:对于安全等级较高的场景,可对内部资产和外部供应商进行排查,暂时更换为其他不存在私钥泄露风险的型号。


附录A 受影响的MSI型号

Sword-17-A12UCX

Stealth-17Studio-A13VF

Modern-15-B13M

Creator-M16-A12UGS

Katana-GF66-12UG

CreatorPro-Z16HXStudio-B13VKTO

CreatorPro-M17-A12UIS

Vector-GP66HX-12UGS

Summit-E16Flip-A13VFT

Stealth-17M-A12UE

Prestige-13Evo-A12M

CreatorPro-Z17HXStudio-A13VKT

Cyborg-15-A12UDX

Raider-GE67HX-12UHS

Raider-GE78HX-SmartTP-13VG

Raider-GE68HX-13VG

Raider-GE76-12UHS

Titan-GT77HX-13VI

Vector-GP78HX-13VF

Creator-M16-B13VE

CreatorPro-X17HX-A13VKS

Vector-GP66-12UH

Creator-Z16HXStudio-B13VFTO

Pulse-15-B13VGK

Summit-E14FlipEvo-A12MT

Creator-M16-B12VE

Creator-M16-A12UD

Vector-GP68HX-13VG

CreatorPro-Z16HXStudio-B13VJTO

Stealth-15M-B12UE

Cyborg-15-A13VF

Titan-GT77-12UHS

Vector-GP68HX-13VF

Summit-E13FlipEvo-A13MT

Raider-GE66-12UE

Vector-GP76-12UGS

Stealth-15-A13VE

Vector-GP66-12UHSO

Creator-Z16-A12UET

CreatorPro-M16-A12UKS

Katana-15-B13UDXK

Vector-GP76-12UE

Katana-GF66-12UGSO

Katana-17-B13UCXK

Katana-17-B12UCXK

Summit-E16FlipEvo-A13MT

Vector-GP76HX-12UGS

Raider-GE66-12UHS

Prestige-13Evo-A13M

Raider-GE77HX-12UH

Pulse-GL66-12UDK

Katana-GF76-12UCOK

Katana-15-B12UCXK

Vector-GP77-13VG

Stealth-GS66-12UH

Stealth-GS66-12UE

Vector-GP68HX-12VH

Katana-GF66-12UDOK

Modern-15-B12HW

Raider-GE78HX-13VH

Stealth-GS77-12UHS

Prestige-16-A12UD

CreatorPro-X17HX-A13VM

Vector-GP66-12UHO

Sword-15-A12UDX

Crosshair-17-C12VE

Katana-GF76-12UEO

CreatorPro-Z17-A12UKST

Vector-GP78HX-13VI

Sword-17-A13VE

Stealth-17Studio-A13VG

Creator-Z16HXStudio-B13VETO

Thin-GF63-12VE

Modern-14-C12M

Thin-GF63-12HW

Vector-GP76-12UGSO

Vector-GP66-12UGS

Prestige-14-A12SC

Sword-17-A12UE

Prestige-16Evo-A13M

Sword-17-A12UD

Creator-Z16P-B12UHST

CreatorPro-M17-A12UKS

Vector-GP78HX-13VG

Stealth-16Studio-A13VE

Cyborg-15-A13VE

Stealth-16Studio-A13VF

Summit-E14FlipEvo-A13MT

Creator-Z17-A12UGST

Katana-GF76-12UCO

Thin-GF63-12UCX

CreatorPro-Z16P-B12UKST

CreatorPro-M16-B13VJ

Prestige-15-A12SC

Cyborg-15-A12VE

Creator-Z16P-B12UGST

Modern-14-C13M

Stealth-17Studio-A13VH

Creator-Z17HXStudio-A13VET

Prestige-16Evo-A12M

CreatorPro-M16-A12UJS

CreatorPro-M16-B13VI

Modern-15-B12M

Stealth-14Studio-A13VE

Vector-GP76HX-12UHS

CreatorPro-X17-A12UKS

Raider-GE76-Deluxe-Edition-12UH

CreatorPro-X17-A12UMS

Cyborg-15-A13UDX

CreatorPro-M16-A12UIS

Pulse-GL76-12UEK

Titan-GT77-12UGS

Vector-GP77-13VF

CreatorPro-Z16P-B12UMST

Pulse-GL76-12UCK

Summit-E13FlipEvo-A12MT

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。