微星（MSI）拒付贖金后，其固件簽名私鑰和英特爾的OEM私鑰遭勒索軟件組織泄露，包括聯(lián)想、英特爾、微星、超微等多家PC設(shè)備和半導(dǎo)體巨頭受到影響。

微星國(guó)際（MSI）是一家開發(fā)和銷售計(jì)算機(jī)（筆記本電腦、臺(tái)式機(jī)、一體機(jī)、服務(wù)器等）和計(jì)算機(jī)硬件（主板、顯卡、PC外圍設(shè)備等）的跨國(guó)公司。

該公司在4月初證實(shí)遭Money Message勒索軟件組織攻擊，后者宣稱已經(jīng)竊取了該公司的一些源代碼，并要求微星支付400萬美元用于贖回或刪除泄露數(shù)據(jù)。

在網(wǎng)絡(luò)攻擊事件發(fā)生后，微星敦促“用戶僅從其官方網(wǎng)站獲取固件/BIOS更新，而不是使用來自官方網(wǎng)站以外來源的文件?！?

MSI固件簽名密鑰和英特爾OEM私鑰泄露

近日，Money Message集團(tuán)表示，由于微星選擇拒絕支付贖金，已經(jīng)開始發(fā)布被盜的微星數(shù)據(jù)。

固件供應(yīng)鏈安全公司Binarly分析了已經(jīng)公開泄露的源代碼，發(fā)現(xiàn)其中包含了57個(gè)微星用的固件映像的私有代碼簽名密鑰，以及116個(gè)微星產(chǎn)品上使用的Intel Boot Guard的私有簽名密鑰。

這意味著什么？

顯然，鑒于微星此前曾警告客戶僅從其官方網(wǎng)站獲取固件/BIOS更新，這表明該公司擔(dān)心攻擊者可能會(huì)編譯惡意更新并使用被盜密鑰對(duì)其進(jìn)行簽名。但值得重視的是，攻擊者也可以用這些私鑰簽署其他惡意負(fù)載，從而有效地繞過防病毒解決方案。

無論是泄露的英特爾OEM私鑰清單（KM）還是啟動(dòng)策略清單（BPM）密鑰，都可用于對(duì)惡意固件映像進(jìn)行簽名，以通過英特爾啟動(dòng)衛(wèi)士的驗(yàn)證。（英特爾啟動(dòng)防護(hù)可防止計(jì)算機(jī)運(yùn)行未使用原始設(shè)備制造商的數(shù)字簽名簽名的固件/UEFI映像，相應(yīng)的公鑰則由制造商寫入到系統(tǒng)的芯片組中。）