微星（MSI）拒付贖金后，其固件簽名私鑰和英特爾的OEM私鑰遭勒索軟件組織泄露，包括聯(lián)想、英特爾、微星、超微等多家PC設備和半導體巨頭受到影響。

微星國際（MSI）是一家開發(fā)和銷售計算機（筆記本電腦、臺式機、一體機、服務器等）和計算機硬件（主板、顯卡、PC外圍設備等）的跨國公司。

該公司在4月初證實遭Money Message勒索軟件組織攻擊，后者宣稱已經(jīng)竊取了該公司的一些源代碼，并要求微星支付400萬美元用于贖回或刪除泄露數(shù)據(jù)。

在網(wǎng)絡攻擊事件發(fā)生后，微星敦促“用戶僅從其官方網(wǎng)站獲取固件/BIOS更新，而不是使用來自官方網(wǎng)站以外來源的文件?！?

MSI固件簽名密鑰和英特爾OEM私鑰泄露

近日，Money Message集團表示，由于微星選擇拒絕支付贖金，已經(jīng)開始發(fā)布被盜的微星數(shù)據(jù)。

固件供應鏈安全公司Binarly分析了已經(jīng)公開泄露的源代碼，發(fā)現(xiàn)其中包含了57個微星用的固件映像的私有代碼簽名密鑰，以及116個微星產(chǎn)品上使用的Intel Boot Guard的私有簽名密鑰。

這意味著什么？

顯然，鑒于微星此前曾警告客戶僅從其官方網(wǎng)站獲取固件/BIOS更新，這表明該公司擔心攻擊者可能會編譯惡意更新并使用被盜密鑰對其進行簽名。但值得重視的是，攻擊者也可以用這些私鑰簽署其他惡意負載，從而有效地繞過防病毒解決方案。

無論是泄露的英特爾OEM私鑰清單（KM）還是啟動策略清單（BPM）密鑰，都可用于對惡意固件映像進行簽名，以通過英特爾啟動衛(wèi)士的驗證。（英特爾啟動防護可防止計算機運行未使用原始設備制造商的數(shù)字簽名簽名的固件/UEFI映像，相應的公鑰則由制造商寫入到系統(tǒng)的芯片組中。）