Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. Fallstudie

Fallstudie: Der MSI-Code-Signing-Datendiebstahl im Jahr 2023

Geschrieben vonArier Kumar 11 Minuten
MSI
Inhaltsverzeichnis

Im April 2023 wurde Micro-Star International (MSI), ein renommierter taiwanesischer Hersteller von Laptops, Motherboards und Grafikkarten, Opfer eines Ransomware-Angriffs der Money Message-Bande. Der Angriff führte zum Diebstahl und anschließenden Verlust privater Daten. Codesignatur Schlüssel im Darknet, was eine erhebliche Bedrohung für die Sicherheit der MSI-Produkte und des gesamten Technologie-Ökosystems darstellt. Diese Schlüssel, die für die Überprüfung der Authentizität von Firmware-Updates entscheidend sind, könnten es Angreifern ermöglichen, bösartige Firmware zu verbreiten, die als legitime Updates getarnt ist, was möglicherweise zu verheerenden Angriffe auf die Lieferkette.

Codesignatur ist für die digitale Sicherheit unerlässlich und gewährleistet die Vertrauenswürdigkeit von Software und Firmware. Der MSI-Angriff hat Schwachstellen im Schlüsselmanagement aufgezeigt und die Sorge geweckt, dass Angreifer Sicherheitsfunktionen wie Intel Boot Guard (Pressemitteilung). In diesem Blog geht es um den Diebstahl der MSI-Codesignatur, seine Folgen und darum, wie CodeSign Secure von Encryption Consulting diese Risiken hätte mindern können. 

Unternehmen 

Micro-Star International (MSI), gegründet 1986, ist ein weltweit anerkanntes taiwanesisches Technologieunternehmen mit Hauptsitz in Neu-Taipeh. MSI hat sich als Marktführer im Gaming- und professionellen Computerbereich etabliert und bietet ein vielfältiges Produktportfolio, darunter Motherboards, Grafikkarten, Laptops, Desktops, All-in-One-PCs, Server, Industriecomputer, Peripheriegeräte für Verbraucher und Spiele sowie Barebone-Computer. Das Unternehmen ist besonders für seine leistungsstarke Gaming-Hardware bekannt, deren Motherboards die neuesten Intel- und AMD-Prozessoren sowie Grafikkarten mit NVIDIA- und AMD-GPUs unterstützen.  

MSI ist in über 120 Ländern tätig, beschäftigt Tausende von Mitarbeitern und hat sich einen Ruf für Innovation und Qualität erarbeitet. Seine starke Präsenz in der E-Sport-Community und das Sponsoring professioneller Gaming-Teams und -Turniere unterstreichen seine Marktführerschaft. Für einen Hardware-Anbieter wie MSI ist die Firmware-Signierung eine wichtige Sicherheitsfunktion, da sie sicherstellt, dass nur legitime und unverfälschte Firmware auf seinen Geräten ausgeführt werden kann und die Grundlage für einen sicheren Bootvorgang bildet. 

Es ist erwähnenswert, dass einige Sicherheitsforscher bereits vor diesem Vorfall auf Lücken in den Sicherheitspraktiken von MSI hingewiesen hatten, wie z. B. Firmware-Updates, die Secure Boot zeitweise weniger effektiv machten, indem sie die Standardeinstellungen auf „Immer ausführen“ änderten, anstatt eine Signaturüberprüfung zu erzwingen. Der Ransomware-Angriff von 2023, der die Codesignatur Die Schlüssel haben erhebliche Herausforderungen im Bereich der Cybersicherheit aufgezeigt und die Notwendigkeit eines starken Schutzes kritischer digitaler Vermögenswerte zum Schutz digitaler Informationen aufgezeigt.  

Art und Zeitrahmen des Verstoßes 

Im April 2023 gab MSI einen Ransomware-Angriff der Money Message-Bande bekannt, einer Cyberkriminellengruppe, die dafür bekannt ist, hochkarätige Organisationen ins Visier zu nehmen. Der Angriff im März 2023 führte zum Diebstahl von rund 1.5 Terabyte sensibler Daten, darunter proprietärer Quellcode und private Codesignaturschlüssel. Diese Schlüssel sind für die Überprüfung der Authentizität und Integrität der Firmware-Updates von MSI unerlässlich, und ihre Kompromittierung stellte ein erhebliches Sicherheitsrisiko dar.  

Nachdem die Angreifer in die Systeme von MSI eingedrungen waren, forderten sie ein Lösegeld von 4 Millionen Dollar. Als MSI die Zahlung verweigerte, veröffentlichte die Money Message-Bande die gestohlenen Daten auf ihrem Darknet-Portal. Zu den geleakten Daten gehörten: 

  • Firmware-Signaturschlüssel für 57 verschiedene PCs, die zum Signieren von UEFI-Firmware-Updates verwendet werden.
  • Intel Boot Guard-Schlüssel für 116 MSI-Produkte, einschließlich derer, die auf Intels Prozessoren der 11. (Tiger Lake), 12. (Alder Lake) und 13. (Raptor Lake) Generation basieren.

Die durchgesickerten Intel Boot Guard-Schlüssel wurden als private OEM-Schlüssel (Key Manifest und Boot Policy Manifest Private Keys) identifiziert. Diese werden vom Original Equipment Manufacturer (OEM), in diesem Fall MSI, generiert und anschließend in den Chipsatz integriert, wodurch sie zu einem integralen Bestandteil der vertrauenswürdigen Boot-Kette der Plattform werden.  

Diese Schlüssel sind entscheidend, um sicherzustellen, dass Firmware-Updates legitim und unverfälscht sind. Ihr Diebstahl löste Bedenken aus, dass Angreifer möglicherweise schädliche Firmware-Updates erstellen und verbreiten könnten, die Sicherheitsmaßnahmen wie Intel Boot Guard, eine hardwarebasierte Funktion zum Schutz des Bootvorgangs, umgehen könnten.  

DatumEvent
März 2023 Die Money Message-Bande infiltriert die Systeme von MSI, setzt Ransomware ein und exfiltriert 1.5 Terabyte an Daten, darunter auch Code-Signaturschlüssel. 
2. April 2023 MSI gibt den Cyberangriff öffentlich bekannt und behauptet zunächst, die operativen Auswirkungen seien minimal. 
Nach dem 2. April 2023 Nachdem MSI sich weigerte, das Lösegeld zu zahlen, ließen die Angreifer die gestohlenen Daten im Darknet durchsickern, darunter Firmware-Signaturschlüssel und Intel Boot Guard-Schlüssel. 
Ab April 2023Sicherheitsforscher analysierten die durchgesickerten Daten und bestätigten die Schwere des Schlüsselkompromittierungsvorfalls und seine potenziellen Auswirkungen auf die Systemsicherheit. (Profil melden

Challenges  

Der Diebstahl der MSI-Code-Signaturdaten stellte mehrere komplexe Herausforderungen dar, die den Schweregrad verstärkten und eine Schadensbegrenzung erschwerten. Die Unwiderruflichkeit von Firmware-Schlüsseln war eine erhebliche Hürde, da diese Schlüssel oft fest in Hardware- oder Firmware-Images kodiert sind. Dies liegt daran, dass bestimmte kritische Schlüssel, insbesondere jene, die die Vertrauensbasis bilden, während des Herstellungsprozesses in einmalig programmierbare (OTP) Sicherungen im Chipsatz des Systems (wie dem Platform Controller Hub – PCH) oder einem Trusted Platform Module (TPM) „eingebrannt“ werden. Das bedeutet, dass sie nicht einfach widerrufen oder ersetzt werden können, ohne die Hardware selbst zu aktualisieren, was für viele Benutzer unpraktisch ist. Dies stellte ein anhaltendes Risiko dar, da kompromittierte Geräte weiterhin anfällig für Angriffe blieben. 

Eine weitere Herausforderung war das Potenzial für Angriffe auf die LieferketteMit den gestohlenen Schlüsseln konnten Angreifer bösartige Firmware-Updates erstellen, die legitim erscheinen, und so Malware über vertrauenswürdige Kanäle verbreiten. Solche Angriffe könnten den Bootvorgang betroffener Geräte beeinträchtigen und so hartnäckige Infektionen verursachen, die schwer zu erkennen oder zu entfernen sind. Besonders besorgniserregend waren die Auswirkungen auf Intel Boot Guard, eine hardwarebasierte Sicherheitsfunktion. Durch die Kompromittierung der Boot Guard-Schlüssel von MSI konnten Angreifer bösartige Firmware signieren, die diesen Schutz umging und ihn auf betroffenen Geräten unwirksam machte. 

Ist Intel Boot Guard erst einmal kompromittiert, gibt es innerhalb der Hardware selbst keinen sicheren Boot-Fallback-Mechanismus, der die Ausführung nicht autorisierter Firmware verhindert. Dadurch steigt das Risiko der Installation hochentwickelter Rootkits und Bootkits deutlich an. Diese operieren auf einer Ebene unterhalb des Betriebssystems und sind daher für herkömmliche Antiviren- und hostbasierte Sicherheitslösungen nur schwer zu erkennen und zu entfernen. 

Kundenvertrauen und Ruf Auch die Sicherheit stand auf dem Spiel, da der Datenleck das Vertrauen in die Sicherheitspraktiken von MSI untergrub. Das Unternehmen musste seine Kunden davon überzeugen, dass das Datenleck eingedämmt war und Maßnahmen zur Risikominimierung ergriffen wurden. Die technischen Sanierungsmaßnahmen erforderten umfangreiche Audits, um sicherzustellen, dass keine schädliche Firmware verbreitet wurde und die Systeme von MSI vor weiteren Angriffen geschützt waren. Dies erforderte erhebliche Ressourcen und Fachwissen. 

Rechtliche und regulatorische Auswirkungen Dies führte zu einer weiteren Komplexitätsebene, da der Diebstahl sensibler Daten datenschutzrechtliche Konsequenzen haben könnte, obwohl MSI erklärte, dass keine Kundendaten kompromittiert worden seien. Der Verstoß brachte auch potenzielle Schwachstellen in MSIs internen Prüf- und Warnmechanismen für kritische digitale Vermögenswerte ans Licht und deutet auf ein mögliches Fehlen einer kontinuierlichen, manipulationssicheren Protokollierung der Schlüsselnutzung und des Schlüsselzugriffs oder eine unzureichende Integration solcher Protokolle in ein SIEM-System (Security Information and Event Management) zur Echtzeitüberwachung und Warnung vor verdächtigen Aktivitäten im Zusammenhang mit der Code-Signing-Infrastruktur hin. 

Enterprise Code-Signing-Lösung

Holen Sie sich mit unserer Code-Signing-Lösung eine Lösung für alle Ihre kryptografischen Software-Code-Signing-Anforderungen.

Demo buchen

Auswirkungen

Der Diebstahl der MSI-Code-Signing-Daten hatte weitreichende Folgen und betraf MSI, seine Kunden und das gesamte Technologie-Ökosystem. Die Hauptsorge galt den Sicherheitsrisiken für die Benutzer, da Angreifer die gestohlenen Schlüssel nutzen könnten, um schädliche Firmware-Updates zu signieren und zu verbreiten. Dies ist besonders gefährlich, da sich Malware auf Firmware-Ebene, wie das berüchtigte LoJax oder das neuere MoonBounce, tief in der Unified Extensible Firmware Interface (UEFI) im SPI-Flash-Speicher einnisten kann und so effektiv unterhalb der Betriebssystemebene operiert.

Sobald diese Bedrohungen mit legitimen Schlüsseln signiert sind, sind sie unglaublich schwer zu erkennen und zu entfernen. Sie überstehen oft die Neuinstallation des Betriebssystems, den Austausch der Festplatte und sogar das Zurücksetzen auf die Werkseinstellungen und werden so zu einem hartnäckigen und heimlichen Rootkit. Solche Updates könnten Angreifern dauerhaften Zugriff auf Systeme verschaffen, vertrauliche Daten stehlen oder sogar Geräte funktionsunfähig machen – sowohl bei Privatpersonen als auch bei großen Unternehmen.  

  • Der Verstoß hat Schwachstellen in der Software-Lieferkette, insbesondere im Firmware-Update-Prozess. Da die Angreifer in der Lage waren, Code-Signaturschlüssel zu kompromittieren, konnten sie Schadsoftware in die Lieferkette einschleusen, die zahlreiche Organisationen und Geräte betraf. Die weltweiten Kosten von Angriffen auf die Lieferkette werden bis 2023 auf 46 Milliarden US-Dollar geschätzt (Profil melden).
  • Der Reputationsschaden für MSI war erheblich, da der Vorfall wahrscheinlich das Kundenvertrauen und den Marktanteil beeinträchtigte. Das Unternehmen musste Bedenken von Kunden und Partnern hinsichtlich der Sicherheit seiner Produkte ausräumen, was sich potenziell auf zukünftige Umsätze auswirken könnte.
  • Zu den finanziellen Kosten zählten die Kosten für die Untersuchung des Vorfalls, die Umsetzung von Abhilfemaßnahmen und die mögliche Entschädigung der betroffenen Parteien. Der Verstoß hatte langfristige finanzielle Auswirkungen, wenn Kunden aufgrund von Sicherheitsbedenken zur Konkurrenz wechselten.
  • Die Auswirkungen auf die gesamte Branche waren beträchtlich. Der Vorfall war ein Weckruf für die Technologiebranche und zeigte, wie wichtig die Sicherung von Code-Signatur-Schlüsseln ist. Er löste Diskussionen über die Verbesserung der Schlüsselverwaltung und der Sicherheitsmaßnahmen für Firmware-Updates aus.
  • Es bestehen weiterhin Risiken, da die kompromittierten Schlüssel nicht einfach widerrufen werden können. Geräte, die die betroffenen Schlüssel verwenden, bleiben daher anfällig, sofern die Benutzer ihre Firmware nicht aktualisieren, was nicht immer möglich ist.

CodeSign Secure von Encryption Consulting 

Bei Encryption Consulting sind wir spezialisiert auf die Sicherung kryptografischer Assets und den Schutz von Unternehmen vor Bedrohungen wie dem Diebstahl von MSI-Code-Signaturdaten. Unsere CodeSign Secure-Lösung bietet eine robuste, flexible und zukunftssichere Lösung zum Schutz Codesignatur Prozesse. Der Datenverstoß bei der MSI-Codesignierung hätte durch erweiterten Schlüsselschutz, Automatisierung und Compliance-Funktionen verhindert oder deutlich abgemildert werden können.  

Unsere CodeSign Secure Die Plattform wurde entwickelt, um den gesamten Lebenszyklus der Code-Signatur zu optimieren und zu sichern und sicherzustellen, dass private Schlüssel vor Diebstahl oder Missbrauch geschützt sind. Durch die Integration mit branchenführenden Hardware-Sicherheitsmodule (HSMs)CodeSign Secure, wie beispielsweise Thales, Utimaco, nCipher und Fortanix, stellt sicher, dass kryptografische Schlüssel in einer manipulationssicheren Umgebung gemäß FIPS 140-2 Level 3 generiert, gespeichert und verwendet werden. Dadurch wird das Risiko einer Schlüsselfreigabe selbst im Falle einer Systemkompromittierung eliminiert, da die Schlüssel das HSM nie verlassen. Weitere Funktionen von CodeSign Secure sind: 

  • Automatisierte Code Signing-Workflows: CodeSign Secure integriert sich nahtlos mit CI / CD-Pipelines, sowie Azure-DevOps, Jenkinsund GitLab, wodurch der Signaturprozess automatisiert und gleichzeitig strenge Richtlinien durchgesetzt werden. Dies umfasst die Unterstützung signierter Firmware-Pipelines, wodurch sichergestellt wird, dass nicht nur Anwendungsbinärdateien, sondern auch kritische Firmware-Updates im Rahmen des automatisierten Build- und Release-Prozesses sicher signiert werden. Dies reduziert menschliche Fehler und stellt sicher, dass nur autorisiertes Personal Signaturvorgänge einleiten kann, wodurch die unbefugte Verwendung von Schlüsseln verhindert wird.
  • Detaillierte Zugriffskontrollen: Unsere Plattform bietet rollenbasierte Zugriffskontrolle (RBAC) und Multi-Faktor-Authentifizierung (MFA) sowie M of N Quorum-Genehmigungen, um den Schlüsselzugriff auf autorisierte Benutzer zu beschränken. Dadurch wird sichergestellt, dass nur vertrauenswürdiges Personal auf die Code-Signaturschlüssel zugreifen kann, wodurch Risiken durch Phishing oder Insider-Bedrohungen minimiert werden.
  • Umfassende Prüfpfade: Darüber hinaus bietet es detaillierte, signierte Prüfprotokolle für alle Signaturvorgänge und ermöglicht so Echtzeit-Transparenz und forensische Analysen. Durch ordnungsgemäße Protokollierung und Berichterstattung erkennen Sie verdächtige Aktivitäten frühzeitig und können schneller auf Sicherheitsverletzungen reagieren. Darüber hinaus gewährleistet unsere Unterstützung für sichere Zeitstempel (RFC 3161 und Authenticode-Standards) die langfristige Gültigkeit der Signatur und stärkt so Vertrauen und Compliance.
  • Bereitschaft zur Post-Quanten-Kryptographie (PQC): CodeSign Secure v3.02 unterstützt NIST-erprobte PQC-Algorithmen wie ML-DSA und BMS, die Organisationen auf Quantenbedrohungen vorbereiten. Integration PQC Durch frühzeitige Software-Releases in Ihrem Unternehmen wird es zukunftssicher und es wird eine zusätzliche Sicherheitsebene hinzugefügt, die die Widerstandsfähigkeit gegen neu auftretende kryptografische Risiken gewährleistet.
  • Einhaltung Gesetzlicher Vorschriften: Unsere Lösungen entsprechen strengen Standards, darunter FIPS 140-2, CA / Browser-Forumund DSGVO, wodurch sichergestellt wird, dass Unternehmen die gesetzlichen Anforderungen erfüllen und gleichzeitig ihre Lieferkette schützen. Die Integration mit Schwachstellenscannern und Software Bills of Materials (SBOMs) verbessert die Compliance und Transparenz zusätzlich, indem sie einen detaillierten Überblick über die Probleme bietet, die eine Software enthalten kann.

Fazit 

Der MSI-Code-Signatur-Datendiebstahl im Jahr 2023 war ein entscheidendes Ereignis, das die kritischen Schwachstellen bei der Verwaltung kryptografischer Schlüssel offenlegte. Der Diebstahl von Firmware-Signatur- und Intel-Boot-Guard-Schlüsseln durch die Money-Message-Bande stellte eine anhaltende Bedrohung für MSI-Kunden und das gesamte Technologie-Ökosystem dar und birgt das Potenzial für verheerende Angriffe auf die Lieferkette. Die Herausforderungen beim Widerruf eingebetteter Schlüssel und der Wiederherstellung des Vertrauens zeigten, wie komplex die Behebung solcher Sicherheitsverletzungen ist. 

Dieser Vorfall verdeutlichte die überragende Bedeutung von „Zero-Key-Export“-Richtlinien und robuster hardwarebasierter Sicherheit für kritische Schlüssel, um sicherzustellen, dass diese niemals aus ihrer sicheren Umgebung extrahiert werden können. Um ähnliche Vorfälle zu verhindern, müssen Unternehmen einen proaktiven und kontinuierlichen Ansatz zur Sicherheitsbewertung verfolgen. Dazu gehören regelmäßige Audits der Firmware-Signatur, regelmäßige Schlüsselrotationen und umfassende Bedrohungsmodellierungsübungen, um potenzielle Angriffsvektoren zu identifizieren und zu entschärfen, bevor sie ausgenutzt werden. 

Lösungen wie die von Encryption Consulting CodeSign Secure und HSM als Service Dieser Vorfall hätte durch die Sicherung der Schlüssel in manipulationssicheren HSMs, die Automatisierung von Arbeitsabläufen und die Durchsetzung strenger Zugriffskontrollen verhindert werden können. Dieser Verstoß ist ein dringender Anlass für Unternehmen, der Sicherheit beim Code Signing Priorität einzuräumen und robuste Lösungen zum Schutz ihrer digitalen Assets zu implementieren. Als Cyber-Bedrohungen Um das Vertrauen in die digitale Welt zu wahren, sind proaktive Maßnahmen, fachkundige Beratung und die Zusammenarbeit mit der Branche von entscheidender Bedeutung. 

Entdecken

Weitere Themen