\n<\/aside>\n<\/p>\n
Una intrusi\u00f3n de ransomware en el fabricante de hardware Micro-Star International, m\u00e1s conocido como MSI, est\u00e1 avivando la preocupaci\u00f3n por los devastadores ataques a la cadena de suministro que podr\u00edan inyectar actualizaciones maliciosas que se han firmado con claves de firma de la empresa en las que conf\u00eda una gran base de dispositivos de usuarios finales. dijo un investigador.<\/p>\n
\u00abEs como un escenario del fin del mundo en el que es muy dif\u00edcil actualizar los dispositivos simult\u00e1neamente, y permanecen sin actualizar durante un tiempo y usar\u00e1n la clave anterior para la autenticaci\u00f3n\u00bb, Alex Matrosov, director ejecutivo, jefe de investigaci\u00f3n y fundador de la firma de seguridad Binarly, dijo en una entrevista. \u00abEs muy dif\u00edcil de resolver, y no creo que MSI tenga ninguna soluci\u00f3n de respaldo para bloquear las claves filtradas\u00bb.<\/p>\n
Clave filtrada + sin revocaci\u00f3n = receta para el desastre<\/h2>\n La intrusi\u00f3n sali\u00f3 a la luz en abril cuando, como inform\u00f3 por primera vez Bleeping Computer, el portal de extorsi\u00f3n del grupo de ransomware Money Message incluy\u00f3 a MSI como una nueva v\u00edctima y public\u00f3 capturas de pantalla que pretend\u00edan mostrar carpetas que conten\u00edan claves de cifrado privadas, c\u00f3digo fuente y otros datos. Un d\u00eda despu\u00e9s, MSI emiti\u00f3 un escueto aviso diciendo que hab\u00eda \u00absufrido un ataque cibern\u00e9tico en parte de sus sistemas de informaci\u00f3n\u00bb. El aviso inst\u00f3 a los clientes a obtener actualizaciones solo del sitio web de MSI. No hizo menci\u00f3n de llaves filtradas.<\/p>\n
Desde entonces, Matrosov ha analizado los datos que se publicaron en el sitio Money Message en la dark web. Para su alarma, se incluyeron en el tesoro dos claves de encriptaci\u00f3n privadas. La primera es la clave de firma que firma digitalmente las actualizaciones de firmware de MSI para probar criptogr\u00e1ficamente que son leg\u00edtimas de MSI en lugar de un impostor malicioso de un actor de amenazas.<\/p>\n
Esto plantea la posibilidad de que la clave filtrada pueda generar actualizaciones que infectar\u00edan la mayor\u00eda de las regiones inferiores de una computadora sin activar una advertencia. Para empeorar las cosas, dijo Matrosov, MSI no tiene un proceso de parcheo automatizado como lo tienen Dell, HP y muchos fabricantes de hardware m\u00e1s grandes. En consecuencia, MSI no proporciona el mismo tipo de capacidades de revocaci\u00f3n de claves.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\u00abEs muy malo. No sucede con frecuencia\u201d, dijo. \u201cDeben prestar mucha atenci\u00f3n a este incidente porque aqu\u00ed hay implicaciones de seguridad muy serias\u201d.<\/p>\n
Adem\u00e1s de la preocupaci\u00f3n, MSI hasta la fecha ha mantenido silencio por radio sobre el asunto. Los representantes de la empresa no respondieron a los correos electr\u00f3nicos en busca de comentarios y preguntando si la empresa planeaba emitir una gu\u00eda para sus clientes.<\/p>\n
Durante la \u00faltima d\u00e9cada, los ataques a la cadena de suministro han entregado cargas \u00fatiles maliciosas a miles de usuarios en un solo incidente cuando las v\u00edctimas no hicieron nada m\u00e1s que instalar una actualizaci\u00f3n v\u00e1lidamente firmada, en el compromiso de 2019 del sistema de distribuci\u00f3n y compilaci\u00f3n de software para SolarWinds, una nube- servicio de gesti\u00f3n de red basado.<\/p>\n
Con el control de la clave privada utilizada para certificar actualizaciones leg\u00edtimas, la unidad de pirater\u00eda respaldada por el Kremlin conocida como APT29 y Cozy Bear, que se cree que forma parte del Servicio de Inteligencia Exterior de Rusia, infect\u00f3 a m\u00e1s de 18.000 clientes con una primera etapa de malware. Diez agencias federales y alrededor de 100 empresas privadas recibieron cargas \u00fatiles de seguimiento que instalaron puertas traseras para su uso en espionaje.<\/p>\n
En marzo, la empresa de telefon\u00eda 3CX, fabricante del popular software VoIP utilizado por m\u00e1s de 600 000 organizaciones en 190 pa\u00edses, revel\u00f3 una brecha en su sistema de compilaci\u00f3n. Los piratas inform\u00e1ticos detr\u00e1s de esa intrusi\u00f3n, que trabajan en nombre del gobierno de Corea del Norte, seg\u00fan los investigadores, utilizaron su punto de apoyo para enviar actualizaciones maliciosas a un n\u00famero desconocido de clientes.<\/p>\n
La firma de seguridad Mandiant inform\u00f3 m\u00e1s tarde que el compromiso de 3CX se debi\u00f3 a que se infect\u00f3 a trav\u00e9s de un ataque a la cadena de suministro contra el desarrollador de software Trading Technologies, fabricante del programa de comercio financiero X_Trader que us\u00f3 3CX.<\/p>\n
No hay informes de ataques a la cadena de suministro dirigidos a clientes de MSI. Obtener el tipo de control necesario para comprometer un sistema de compilaci\u00f3n de software generalmente es un evento no trivial que requiere mucha habilidad y posiblemente algo de suerte. Sin embargo, debido a que MSI no tiene un mecanismo de actualizaci\u00f3n automatizado o un proceso de revocaci\u00f3n, la barra probablemente sea m\u00e1s baja.<\/p>\n
Cualquiera que sea la dificultad, la posesi\u00f3n de la clave de firma que utiliza MSI para verificar criptogr\u00e1ficamente la autenticidad de sus archivos de instalaci\u00f3n reduce significativamente el esfuerzo y los recursos necesarios para llevar a cabo un ataque eficaz a la cadena de suministro.<\/p>\n
\u201cEl peor escenario es si los atacantes no solo obtienen acceso a las claves, sino que tambi\u00e9n pueden distribuir esta actualizaci\u00f3n maliciosa. [using those keys]dijo Matr\u00f3sov.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nEn un aviso, el Centro Nacional de Ciberseguridad con sede en los Pa\u00edses Bajos no descart\u00f3 la posibilidad.<\/p>\n
\u201cDebido a que el abuso exitoso es t\u00e9cnicamente complejo y, en principio, requiere acceso local a un sistema vulnerable, el NCSC considera que el riesgo de abuso es peque\u00f1o\u201d, escribieron los funcionarios del NCSC. \u201cSin embargo, no es inconcebible que las claves filtradas sean mal utilizadas en ataques dirigidos. El NCSC a\u00fan no tiene conocimiento de ning\u00fan indicio de uso indebido del material clave filtrado\u201d.<\/p>\n
Para agravar la amenaza, los piratas inform\u00e1ticos de Money Message tambi\u00e9n adquirieron una clave de cifrado privada utilizada en una versi\u00f3n de Intel Boot Guard que MSI distribuye a sus clientes. Muchos otros fabricantes de hardware usan diferentes claves que no se ven afectadas. En un correo electr\u00f3nico, un portavoz de Intel escribi\u00f3:<\/p>\n
\nIntel est\u00e1 al tanto de estos informes y est\u00e1 investigando activamente. Ha habido afirmaciones de investigadores de que las claves de firma privadas est\u00e1n incluidas en los datos, incluidas las claves de firma OEM de MSI para Intel BootGuard. Cabe se\u00f1alar que las claves OEM de Intel BootGuard son generadas por el fabricante del sistema y no son claves de firma de Intel.<\/p>\n<\/blockquote>\n
Acceso de largo alcance<\/h2>\n Intel Boot Guard est\u00e1 integrado en el hardware Intel moderno y est\u00e1 dise\u00f1ado para evitar la carga de firmware malicioso, generalmente en forma de kit de arranque UEFI. Este malware reside en el silicio incrustado en una placa base, es dif\u00edcil, si no imposible, de detectar y es lo primero que se ejecuta cada vez que se enciende una computadora. Las infecciones de UEFI permiten que el malware se cargue antes de que el sistema operativo comience a ejecutarse, lo que permite eludir las protecciones y ocultarse mejor de la protecci\u00f3n de punto final de seguridad.<\/p>\n
La posesi\u00f3n de ambas llaves aumenta a\u00fan m\u00e1s la amenaza en el peor de los casos. El aviso del mi\u00e9rcoles del NCSC explic\u00f3:<\/p>\n
\nIntel Boot Guard es una tecnolog\u00eda desarrollada por Intel. Intel Boot Guard verifica que el firmware de la placa base haya sido firmado digitalmente por el proveedor durante el proceso de arranque del sistema. La filtraci\u00f3n de Intel Boot Guard y las claves de firmware de MSI permite a un atacante autofirmar firmware malicioso. Un atacante con acceso (en principio local) a un sistema vulnerable puede instalar y ejecutar este firmware. Esto le da al atacante un acceso de gran alcance al sistema, pasando por alto todas las medidas de seguridad subyacentes. Por ejemplo, el atacante obtiene acceso a los datos almacenados en el sistema o puede utilizar el acceso para realizar m\u00e1s ataques.<\/p>\n
El fabricante de chips Intel ha informado al NCSC que las claves privadas filtradas son espec\u00edficas de MSI y, por lo tanto, solo pueden usarse para sistemas MSI. Sin embargo, las placas base MSI pueden incorporarse a productos de otros proveedores. Como resultado, el abuso de las claves filtradas tambi\u00e9n puede tener lugar en estos sistemas. Consulte \u00abPosibles soluciones\u00bb para obtener m\u00e1s informaci\u00f3n sobre los sistemas afectados.<\/p>\n<\/blockquote>\n
Por ahora, las personas que usan el hardware afectado, que hasta ahora parece estar limitado solo a clientes de MSI o posiblemente a terceros que revenden hardware de MSI, deben tener mucho cuidado con las actualizaciones de firmware, incluso si est\u00e1n firmadas de manera v\u00e1lida.<\/p>\n<\/p><\/div>\n
\nSource link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"aurich lawson Una intrusi\u00f3n de ransomware en el fabricante de hardware Micro-Star International, m\u00e1s conocido como MSI, est\u00e1 avivando la preocupaci\u00f3n por los devastadores ataques a la cadena de suministro…<\/p>\n","protected":false},"author":1,"featured_media":622984,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[1089,52090,1956,13744,194,865,591,2234,2250,1564,8,24743,1957,7556,26239],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/622983"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=622983"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/622983\/revisions"}],"predecessor-version":[{"id":622985,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/622983\/revisions\/622985"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/622984"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=622983"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=622983"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=622983"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}