Aurich Lawson
Une intrusion de ransomware sur le fabricant de matériel Micro-Star International, mieux connu sous le nom de MSI, alimente les inquiétudes quant aux attaques dévastatrices de la chaîne d’approvisionnement qui pourraient injecter des mises à jour malveillantes qui ont été signées avec des clés de signature d’entreprise auxquelles une énorme base d’appareils d’utilisateurs finaux font confiance, dit un chercheur.
“C’est un peu comme un scénario apocalyptique où il est très difficile de mettre à jour les appareils simultanément, et ils restent pendant un certain temps non à jour et utiliseront l’ancienne clé pour l’authentification”, Alex Matrosov, PDG, responsable de la recherche, et fondateur de la société de sécurité Binarly, a déclaré dans une interview. “C’est très difficile à résoudre, et je ne pense pas que MSI ait une solution de sauvegarde pour bloquer les clés divulguées.”
Clé fuite + pas de révocation = recette du désastre
L’intrusion a été révélée en avril lorsque, comme l’a signalé pour la première fois Bleeping Computer, le portail d’extorsion du groupe de rançongiciels Money Message a répertorié MSI comme une nouvelle victime et a publié des captures d’écran prétendant montrer des dossiers contenant des clés de chiffrement privées, du code source et d’autres données. Un jour plus tard, MSI a publié un avis laconique disant qu’il avait « subi une cyberattaque sur une partie de ses systèmes d’information ». L’avis exhortait les clients à obtenir des mises à jour uniquement sur le site Web de MSI. Il n’a fait aucune mention de clés divulguées.
Depuis lors, Matrosov a analysé les données publiées sur le site Money Message sur le dark web. À son inquiétude, le trésor contenait deux clés de cryptage privées. La première est la clé de signature qui signe numériquement les mises à jour du micrologiciel MSI pour prouver par chiffrement qu’elles sont légitimes de MSI plutôt qu’un imposteur malveillant d’un acteur malveillant.
Cela soulève la possibilité que la clé divulguée puisse diffuser des mises à jour qui infecteraient les régions les plus basses d’un ordinateur sans déclencher d’avertissement. Pour aggraver les choses, a déclaré Matrosov, MSI n’a pas de processus de correction automatisé comme le font Dell, HP et de nombreux grands fabricants de matériel. Par conséquent, MSI ne fournit pas le même type de capacités de révocation de clé.
Publicité
“C’est tres mal. Cela n’arrive pas souvent », a-t-il déclaré. “Ils doivent accorder beaucoup d’attention à cet incident car il y a de très graves implications pour la sécurité ici.”
Ajoutant à l’inquiétude, MSI a jusqu’à présent maintenu le silence radio sur la question. Les représentants de l’entreprise n’ont pas répondu aux e-mails sollicitant des commentaires et demandant si l’entreprise prévoyait de fournir des conseils à ses clients.
Au cours de la dernière décennie, les attaques de la chaîne d’approvisionnement ont livré des charges utiles malveillantes à des milliers d’utilisateurs en un seul incident lorsque les victimes n’ont rien fait d’autre qu’installer une mise à jour valablement signée, dans le compromis de 2019 du système de construction et de distribution de logiciels pour SolarWinds, un cloud- service de gestion de réseau basé.
Avec le contrôle de la clé privée utilisée pour certifier les mises à jour légitimes, l’unité de piratage soutenue par le Kremlin connue sous le nom d’APT29 et Cozy Bear, censée faire partie du service russe de renseignement étranger, a infecté plus de 18 000 clients avec une première étape de malware. Dix agences fédérales et environ 100 entreprises privées ont reçu des charges utiles de suivi qui ont installé des portes dérobées à utiliser dans l’espionnage.
En mars, la société de téléphonie 3CX, fabricant de logiciels VoIP populaires utilisés par plus de 600 000 organisations dans 190 pays, a révélé une violation de son système de construction. Les pirates à l’origine de cette intrusion, qui travaillent pour le compte du gouvernement nord-coréen, selon les chercheurs, ont utilisé leur pied pour fournir des mises à jour malveillantes à un nombre inconnu de clients.
La société de sécurité Mandiant a rapporté plus tard que la compromission de 3CX résultait de son infection par une attaque de la chaîne d’approvisionnement contre le développeur de logiciels Trading Technologies, fabricant du programme de trading financier X_Trader utilisé par 3CX.
Il n’y a aucun rapport d’attaques de la chaîne d’approvisionnement ciblant les clients de MSI. Obtenir le type de contrôle requis pour compromettre un système de construction de logiciel est généralement un événement non trivial qui nécessite beaucoup de compétences et peut-être un peu de chance. Étant donné que MSI ne dispose pas d’un mécanisme de mise à jour automatisé ni d’un processus de révocation, la barre serait probablement plus basse.
Quelle que soit la difficulté, la possession de la clé de signature utilisée par MSI pour vérifier de manière cryptographique l’authenticité de ses fichiers d’installation réduit considérablement les efforts et les ressources nécessaires pour réussir une attaque efficace de la chaîne d’approvisionnement.
“Le pire scénario est que les attaquants obtiennent non seulement l’accès aux clés, mais peuvent également distribuer cette mise à jour malveillante [using those keys]”, a déclaré Matrosov.
Publicité
Dans un avis, le Centre national de cybersécurité basé aux Pays-Bas n’a pas exclu cette possibilité.
“Parce que les abus réussis sont techniquement complexes et nécessitent en principe un accès local à un système vulnérable, le NCSC considère que le risque d’abus est faible”, ont écrit les responsables du NCSC. “Cependant, il n’est pas inconcevable que les clés divulguées soient utilisées à mauvais escient dans des attaques ciblées. Le NCSC n’est pas encore au courant d’indications d’utilisation abusive du matériel de clé divulgué.
Pour aggraver la menace, les pirates de Money Message ont également acquis une clé de cryptage privée utilisée dans une version d’Intel Boot Guard que MSI distribue à ses clients. De nombreux autres fabricants de matériel utilisent des clés différentes qui ne sont pas affectées. Dans un e-mail, un porte-parole d’Intel a écrit :
Intel est au courant de ces rapports et enquête activement. Des chercheurs ont affirmé que des clés de signature privées sont incluses dans les données, y compris les clés de signature OEM MSI pour Intel BootGuard. Il convient de noter que les clés OEM Intel BootGuard sont générées par le fabricant du système et qu’il ne s’agit pas de clés de signature Intel.
Accès étendu
Intel Boot Guard est intégré au matériel Intel moderne et est conçu pour empêcher le chargement de micrologiciels malveillants, généralement sous la forme d’un bootkit UEFI. Ce logiciel malveillant réside dans le silicium intégré à une carte mère, est difficile, voire impossible, à détecter et est la première chose à exécuter chaque fois qu’un ordinateur est allumé. Les infections UEFI permettent de charger des logiciels malveillants avant que le système d’exploitation ne commence à fonctionner, ce qui permet de contourner les protections et de mieux se cacher de la protection des terminaux de sécurité.
La possession des deux clés augmente encore la menace dans le pire des cas. L’avis de mercredi du NCSC a expliqué:
Intel Boot Guard est une technologie développée par Intel. Intel Boot Guard vérifie que le micrologiciel d’une carte mère a été signé numériquement par le fournisseur lors du processus de démarrage d’un système. La fuite des clés Intel Boot Guard et du micrologiciel de MSI permet à un attaquant de signer lui-même un micrologiciel malveillant. Un attaquant disposant d’un accès (en principe local) à un système vulnérable peut alors installer et exécuter ce firmware. Cela donne à l’attaquant un accès étendu au système, en contournant toutes les mesures de sécurité sous-jacentes. Par exemple, l’attaquant accède aux données stockées sur le système ou peut utiliser cet accès pour mener d’autres attaques.
Le fabricant de puces Intel a informé le NCSC que les clés privées divulguées sont spécifiques à MSI et ne peuvent donc être utilisées que pour les systèmes MSI. Cependant, les cartes mères MSI peuvent être intégrées à des produits d’autres fournisseurs. En conséquence, l’abus des clés divulguées peut également avoir lieu sur ces systèmes. Voir « Solutions possibles » pour plus d’informations sur les systèmes concernés.
Pour l’instant, les personnes utilisant le matériel concerné – qui jusqu’à présent semblent être limités aux seuls clients MSI ou éventuellement à des tiers qui revendent du matériel MSI – doivent se méfier des mises à jour du micrologiciel, même si elles sont valablement signées.
