Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Case Study

Casestudy: De diefstal van MSI Code Signing-gegevens in 2023

Posted byArische Kumar 11 Minuten
MSI
Inhoudsopgave

In april 2023 werd Micro-Star International (MSI), een gerenommeerde Taiwanese fabrikant van laptops, moederborden en grafische kaarten, het slachtoffer van een ransomware-aanval uitgevoerd door de Money Message-bende. De inbraak resulteerde in de diefstal en daaropvolgende lekkage van privégegevens. code ondertekening sleutels op het dark web, wat een aanzienlijke bedreiging vormt voor de beveiliging van MSI's producten en het bredere technologische ecosysteem. Deze sleutels, cruciaal voor het verifiëren van de authenticiteit van firmware-updates, zouden aanvallers in staat kunnen stellen om kwaadaardige firmware te verspreiden vermomd als legitieme updates, wat mogelijk tot verwoestende gevolgen kan leiden. aanvallen op de toeleveringsketen.

Code ondertekening is essentieel voor digitale beveiliging en zorgt ervoor dat software en firmware betrouwbaar blijven. De MSI-inbreuk bracht kwetsbaarheden in sleutelbeheer aan het licht, wat leidde tot zorgen over aanvallers die beveiligingsfuncties zoals Intel Boot Guard omzeilen (Persbericht). In deze blog onderzoeken we de diefstal van MSI-codeondertekening, de gevolgen ervan en hoe CodeSign Secure van Encryption Consulting deze risico's had kunnen beperken. 

Bedrijfsoverzicht 

Micro-Star International (MSI), opgericht in 1986, is een wereldwijd erkend Taiwanees technologiebedrijf met hoofdkantoor in New Taipei City. MSI heeft zich gevestigd als leider in de gaming- en professionele computermarkt en biedt een gevarieerd productportfolio, waaronder moederborden, grafische kaarten, laptops, desktops, all-in-one pc's, servers, industriële computers, consumenten- en gamingrandapparatuur en barebone-computers. Het bedrijf staat vooral bekend om zijn krachtige gaminghardware, met moederborden die de nieuwste Intel- en AMD-processors ondersteunen en grafische kaarten met NVIDIA- en AMD-gpu's.  

Met activiteiten in meer dan 120 landen heeft MSI duizenden mensen in dienst en een reputatie opgebouwd voor innovatie en kwaliteit. De sterke aanwezigheid in de esports-community, met de sponsoring van professionele gameteams en -toernooien, onderstreept het marktleiderschap. Voor een hardwareleverancier als MSI is firmware-ondertekening een cruciale beveiligingsfunctie, omdat het ervoor zorgt dat alleen legitieme en ongemanipuleerde firmware op hun apparaten kan draaien en zo de basis vormt voor een veilig opstartproces. 

Het is vermeldenswaard dat sommige beveiligingsonderzoekers vóór dit incident al hiaten in de beveiligingspraktijken van MSI hadden opgemerkt, zoals firmware-updates die Secure Boot soms minder effectief maakten door de standaardinstellingen te wijzigen naar "Altijd uitvoeren" in plaats van handtekeningverificatie af te dwingen. De ransomware-aanval in 2023 die de code ondertekening Keys brachten belangrijke uitdagingen op het gebied van cyberbeveiliging aan het licht, waarbij de noodzaak van een sterke beveiliging van kritieke digitale activa werd benadrukt om digitale informatie veilig te stellen.  

Aard en tijdlijn van de inbreuk 

In april 2023 maakte MSI een ransomware-aanval bekend van de Money Message-bende, een cybercriminele groep die bekendstaat om het aanvallen van vooraanstaande organisaties. De inbreuk, die plaatsvond in maart 2023, resulteerde in de diefstal van ongeveer 1.5 terabyte aan gevoelige gegevens, waaronder gepatenteerde broncode en privé-codeondertekeningssleutels. Deze sleutels zijn essentieel voor het verifiëren van de authenticiteit en integriteit van de firmware-updates van MSI, en hun inbreuk vormde een aanzienlijk beveiligingsrisico.  

Nadat de aanvallers de systemen van MSI hadden geïnfiltreerd, eisten ze een losgeld van 4 miljoen dollar. Toen MSI weigerde te betalen, lekte de bende Money Message de gestolen gegevens uit op hun darkwebportal. De gelekte gegevens omvatten: 

  • Firmware-ondertekeningssleutels voor 57 verschillende pc's, gebruikt om UEFI-firmware-updates te ondertekenen.
  • Intel Boot Guard-sleutels voor 116 MSI-producten, waaronder producten gebaseerd op Intel-processors van de 11e (Tiger Lake), 12e (Alder Lake) en 13e (Raptor Lake) generatie.

De gelekte Intel Boot Guard-sleutels werden geïdentificeerd als OEM-privésleutels (Key Manifest en Boot Policy Manifest). Deze worden gegenereerd door de Original Equipment Manufacturer (OEM), in dit geval MSI, en vervolgens 'gefuseerd' in de chipset, waardoor ze integraal deel uitmaken van de vertrouwde opstartketen van het platform.  

Deze sleutels zijn cruciaal om ervoor te zorgen dat firmware-updates legitiem en ongewijzigd zijn. De diefstal ervan leidde tot bezorgdheid over de mogelijkheid dat aanvallers schadelijke firmware-updates zouden kunnen maken en verspreiden die beveiligingsmaatregelen zoals Intel Boot Guard, een hardwarematige functie die is ontworpen om het opstartproces te beschermen, zouden kunnen omzeilen.  

DatumEvenementen
Maart 2023 De Money Message-bende infiltreert de systemen van MSI, implementeert ransomware en rooft 1.5 terabyte aan gegevens, waaronder codeondertekeningssleutels. 
2 april 2023 MSI maakt de cyberaanval openbaar en beweert in eerste instantie dat de operationele impact minimaal is. 
Na 2 april 2023 Nadat MSI weigerde het losgeld te betalen, lekten de aanvallers de gestolen gegevens op het darkweb, waaronder firmware-ondertekeningssleutels en Intel Boot Guard-sleutels. 
April 2023 VerderBeveiligingsonderzoekers analyseerden de gelekte gegevens en bevestigden de ernst van de inbreuk op de sleutel en de mogelijke impact ervan op de systeembeveiliging.Rapport

Challenges 

De diefstal van MSI-codeondertekeningsgegevens bracht verschillende complexe uitdagingen met zich mee die de ernst ervan vergrootten en het moeilijk maakten om de gevolgen ervan te beperken. onherroepelijkheid van firmwaresleutels was een aanzienlijke hindernis, aangezien deze sleutels vaak hardgecodeerd zijn in hardware- of firmware-images. Dit komt doordat bepaalde kritieke sleutels, met name die welke de root of trust vormen, tijdens het productieproces worden "ingebrand" in eenmalige programmeerbare (OTP) zekeringen in de chipset van het systeem (zoals de Platform Controller Hub – PCH) of een Trusted Platform Module (TPM). Dit betekent dat ze niet eenvoudig kunnen worden ingetrokken of vervangen zonder de hardware zelf te updaten, wat voor veel gebruikers onpraktisch is. Dit vormde een aanhoudend risico, aangezien gecompromitteerde apparaten kwetsbaar bleven voor aanvallen. 

Een andere uitdaging was het potentieel voor aanvallen op de toeleveringsketenMet de gestolen sleutels konden aanvallers kwaadaardige firmware-updates maken die legitiem leken, waardoor ze malware via vertrouwde kanalen konden verspreiden. Dergelijke aanvallen konden het opstartproces van getroffen apparaten in gevaar brengen, waardoor hardnekkige infecties mogelijk werden die moeilijk te detecteren of te verwijderen waren. De impact op Intel Boot Guard, een hardwarematige beveiligingsfunctie, was bijzonder zorgwekkend, omdat de inbreuk op MSI's Boot Guard-sleutels betekende dat aanvallers kwaadaardige firmware konden ondertekenen die deze bescherming omzeilde, waardoor deze op getroffen apparaten niet meer effectief was. 

Zodra Intel Boot Guard is gecompromitteerd, is er geen veilig opstartmechanisme in de hardware zelf om de uitvoering van ongeautoriseerde firmware te voorkomen. Dit verhoogt het risico op de installatie van geavanceerde rootkits en bootkits aanzienlijk. Deze werken op een niveau lager dan het besturingssysteem, waardoor ze extreem moeilijk te detecteren en te verwijderen zijn voor traditionele antivirus- en hostgebaseerde beveiligingsoplossingen. 

Klantvertrouwen en reputatie stonden ook op het spel, waarbij de inbreuk het vertrouwen in de beveiligingspraktijken van MSI ondermijnde. Het bedrijf moest zijn klanten ervan verzekeren dat de inbreuk was ingedamd en dat er maatregelen werden genomen om de risico's te beperken. Technische herstelmaatregelen vereisten uitgebreide audits om ervoor te zorgen dat er geen schadelijke firmware was verspreid en dat de systemen van MSI veilig waren tegen verdere aanvallen, wat aanzienlijke middelen en expertise vergde. 

Juridische en regelgevende implicaties voegde een extra laag van complexiteit toe, aangezien de diefstal van gevoelige gegevens gevolgen zou kunnen hebben voor de wetgeving inzake gegevensbescherming, hoewel MSI verklaarde dat er geen klantgegevens waren gecompromitteerd. De inbreuk bracht ook mogelijke zwakheden aan het licht in de interne audit- en waarschuwingsmechanismen van MSI voor kritieke digitale activa, en suggereert een mogelijk gebrek aan continue, fraudebestendige logging voor sleutelgebruik en -toegang, of onvoldoende integratie van dergelijke logs in een Security Information and Event Management (SIEM)-systeem voor realtime monitoring en waarschuwingen bij verdachte activiteiten met betrekking tot de infrastructuur voor codeondertekening. 

Oplossing voor codeondertekening voor bedrijven

Ontvang één oplossing voor al uw cryptografische behoeften op het gebied van softwarecodeondertekening met onze codeondertekeningsoplossing.

Boek een adviesgesprek

Impact

De diefstal van de MSI-codeondertekeningsgegevens had verstrekkende gevolgen voor MSI, haar klanten en het bredere technologische ecosysteem. De grootste zorg waren de beveiligingsrisico's voor gebruikers, aangezien aanvallers de gestolen sleutels konden gebruiken om kwaadaardige firmware-updates te ondertekenen en te verspreiden. Dit is met name gevaarlijk omdat malware op firmwareniveau, zoals de beruchte LoJax of het recentere MoonBounce, zich diep in de Unified Extensible Firmware Interface (UEFI) in het SPI-flashgeheugen kan nestelen en effectief onder het niveau van het besturingssysteem kan opereren.

Eenmaal ondertekend met legitieme sleutels, worden dit soort bedreigingen ongelooflijk moeilijk te detecteren en te verwijderen. Vaak overleven ze herinstallaties van het besturingssysteem, vervanging van de harde schijf en zelfs fabrieksinstellingen, waardoor ze een hardnekkige en heimelijke rootkit vormen. Dergelijke updates kunnen aanvallers permanente toegang tot systemen geven, gevoelige gegevens stelen of zelfs apparaten onbruikbaar maken, zowel voor individuele consumenten als voor grote organisaties.  

  • De inbreuk bracht kwetsbaarheden aan het licht in de softwaretoeleveringsketen, met name in het firmware-updateproces. Doordat de aanvallers codeondertekeningssleutels konden compromitteren, konden ze malware in de toeleveringsketen introduceren, waardoor meerdere organisaties en apparaten werden getroffen. De wereldwijde kosten van aanvallen op de toeleveringsketen werden in 2023 geschat op $ 46 miljard (Rapport).
  • De reputatieschade voor MSI was aanzienlijk, aangezien het incident waarschijnlijk het vertrouwen van klanten en het marktaandeel aantastte. Het bedrijf moest rekening houden met zorgen van klanten en partners over de beveiliging van zijn producten, wat mogelijk gevolgen had voor de toekomstige verkoop.
  • De financiële kosten omvatten de kosten voor het onderzoeken van het incident, het implementeren van herstelmaatregelen en het mogelijk compenseren van getroffen partijen. De inbreuk leidde tot financiële gevolgen op de lange termijn als klanten vanwege beveiligingsproblemen naar concurrenten zouden overstappen.
  • De gevolgen voor de hele sector waren aanzienlijk. Het incident was een wake-upcall voor de technologiesector over het belang van het beveiligen van codeondertekeningssleutels. Het leidde tot discussies over het verbeteren van sleutelbeheerpraktijken en het versterken van de beveiligingsmaatregelen voor firmware-updates.
  • Er blijven risico's bestaan, omdat de gecompromitteerde sleutels niet eenvoudig kunnen worden ingetrokken. Hierdoor blijven apparaten die gebruikmaken van de gecompromitteerde sleutels kwetsbaar, tenzij gebruikers hun firmware bijwerken, wat niet altijd mogelijk is.

CodeSign Secure van Encryption Consulting 

Bij Encryption Consulting zijn we gespecialiseerd in het beveiligen van cryptografische activa en het beschermen van organisaties tegen bedreigingen zoals diefstal van MSI-codeondertekeningsgegevens. Onze CodeSign Secure-oplossing biedt een robuuste, flexibele en toekomstbestendige oplossing om uw gegevens te beschermen. code ondertekening processen. Het datalek bij MSI-codeondertekening had voorkomen of aanzienlijk beperkt kunnen worden door geavanceerde sleutelbeveiliging, automatisering en compliancefuncties.  

Het CodeSign Secure Het platform is ontworpen om de volledige codeondertekeningscyclus te stroomlijnen en te beveiligen, zodat privésleutels beschermd zijn tegen diefstal of misbruik. Door integratie met toonaangevende Hardware-beveiligingsmodules (HSM's), zoals Thales, Utimaco, nCipher en Fortanix, zorgt CodeSign Secure ervoor dat cryptografische sleutels worden gegenereerd, opgeslagen en gebruikt in een fraudebestendige omgeving die voldoet aan de FIPS 140-2 Level 3-normen. Dit elimineert het risico op sleutelblootstelling, zelfs in geval van een systeemcompromittering, omdat de sleutels de HSM nooit verlaten. Enkele andere kenmerken van CodeSign Secure zijn: 

  • Geautomatiseerde codeondertekeningsworkflows: CodeSign Secure integreert naadloos met CI / CD-pijpleidingen, zoals Azure DevOps, Jenkinsen GitLab, die het ondertekeningsproces automatiseren en tegelijkertijd strikte beleidsregels handhaven. Dit omvat ondersteuning voor ondertekende firmware-pipelines, waardoor niet alleen binaire bestanden van applicaties, maar ook kritieke firmware-updates veilig worden ondertekend als onderdeel van het geautomatiseerde build- en releaseproces. Dit vermindert menselijke fouten en zorgt ervoor dat alleen bevoegd personeel ondertekeningsbewerkingen kan initiëren, waardoor ongeautoriseerd sleutelgebruik wordt voorkomen.
  • Gedetailleerde toegangscontroles: Ons platform biedt Role-Based Access Control (RBAC) en multi-factor authenticatie (MFA), samen met M of N quorumgoedkeuringen, om de toegang tot sleutels te beperken tot geautoriseerde gebruikers. Dit zorgt ervoor dat alleen vertrouwd personeel toegang heeft tot codeondertekeningssleutels, waardoor de risico's van phishing of insider threats worden beperkt.
  • Uitgebreide audittrails: Het biedt ook gedetailleerde, ondertekende auditlogs voor alle ondertekeningsgebeurtenissen, wat realtime inzicht en forensische analyse mogelijk maakt. Dankzij correcte logging en rapportage kunt u verdachte activiteiten vroegtijdig detecteren, waardoor u sneller op een inbreuk kunt reageren. Bovendien garandeert onze ondersteuning voor veilige tijdstempels (RFC 3161 en Authenticode-standaarden) de geldigheid van handtekeningen op lange termijn, wat het vertrouwen en de naleving verbetert.
  • Post-Quantum Cryptografie (PQC) gereedheid: CodeSign Secure v3.02 ondersteunt NIST-goedgekeurde PQC-algoritmen zoals ML-DSA en LMS, organisaties voorbereiden op kwantumbedreigingen. Integratie PQC Door vroegtijdig software uit te brengen, wordt uw organisatie toekomstbestendig en wordt een extra beveiligingslaag toegevoegd, waardoor de organisatie beter bestand is tegen opkomende cryptografische risico's.
  • Naleving van de regelgeving: Onze oplossingen voldoen aan strenge normen, waaronder: FIPS 140-2, CA / Browser Forumen AVG, waardoor organisaties voldoen aan de wettelijke vereisten en tegelijkertijd hun toeleveringsketen beschermen. Integratie met kwetsbaarheidsscanners en Software Bills of Materials (SBOM's) verbetert de naleving en transparantie verder door een gedetailleerd overzicht te bieden van de problemen die een software kan bevatten.

Conclusie 

De diefstal van MSI-codeondertekeningsgegevens in 2023 was een cruciale gebeurtenis die de kritieke kwetsbaarheden in het beheer van cryptografische sleutels blootlegde. De diefstal van firmwareondertekening en Intel Boot Guard-sleutels door de Money Message-bende vormde een aanhoudende bedreiging voor de klanten van MSI en het bredere technologische ecosysteem, met het potentieel voor verwoestende aanvallen op de toeleveringsketen. De uitdagingen rond het intrekken van ingebedde sleutels en het herstellen van vertrouwen toonden de complexiteit van het aanpakken van dergelijke inbreuken. 

Dit incident toonde het cruciale belang aan van een "zero-key export"-beleid en robuuste hardwarematige beveiliging voor kritieke sleutels, zodat deze nooit uit hun beveiligde omgeving kunnen worden gehaald. Om soortgelijke incidenten te voorkomen, moeten organisaties een proactieve en continue beveiligingsbeoordelingsaanpak hanteren, inclusief periodieke firmware-ondertekeningsaudits, regelmatige sleutelrotaties en uitgebreide threat modeling-oefeningen om potentiële aanvalsvectoren te identificeren en te beperken voordat ze worden uitgebuit. 

Oplossingen zoals Encryption Consulting's CodeSign Secure en HSM als een service Dit incident had kunnen voorkomen worden door sleutels te beveiligen in fraudebestendige HSM's, workflows te automatiseren en strikte toegangscontroles af te dwingen. Deze inbreuk vormt een alarmerende oproep aan organisaties om prioriteit te geven aan de beveiliging van codeondertekening en robuuste oplossingen te implementeren om hun digitale activa te beschermen. cyber bedreigingen Om het vertrouwen in de digitale wereld te behouden, zijn proactieve maatregelen, deskundige begeleiding en samenwerking binnen de sector essentieel om te evolueren. 

Ontdek het hier

Meer onderwerpen