Post #182

Утечка ключей прошивок MSI Иногда операторы ransomware(шифровальщиков) добираются и до гигантов, а приводит это вот к чему. Операторами новой ransomware-групы Money Message были украдены ключи для электронной подписи прошивок MSI. И эти ключи быстро и просто не отозвать, а некоторые не отозвать вообще никак, без замены чипов. Чем это опасно? Простыми словами это можно описать так. При загрузке операционной системы, загрузчик опирается на цепочку доверия, а строится она на подписанных подобными ключами механизмах. Только подписанные правильными ключами прошивки имеют право загружаться перед стартом операционной системы, дальше уже всю защиту берет на себя она, и ее средства защиты такие как антивирусы. Теперь, получив ключи для подписи прошивок MSI, злоумышленники смогут внедриться в процесс безопасной загрузки на тех зараженных устройствах, где установлена материнская плата этого производителя. А значит вредоносный код загрузится значительно раньше антивирусов и средств защиты операционной системы. Вирус сможет полноценно управлять работой ОС и противодействовать ему из под операционной системы будет невозможно. И в ряде случаев, вирус сможет прописать свою прошивку в память материнской платы, тогда не поможет даже замена жесткого диска. Кто под угрозой? Те, чьи устройства базируются на материнской плате MSI, если они будут заражены. Как проверить какая у меня материнская плата? Windows: Нажмите кнопку Пуск , выберите Параметры > Система > Сведения о системе Смотрите на строчку "Изготовитель основной платы" Как этому противодействовать? Ждать решения от MSI, но часть ключей уже предзаписаны в одноразовой памяти, их сменить не получится. Возможно они придумают как это обойти. Максимально усилить защиту на уровне ОС, ведь чтобы закрепиться в загрузчике вредоносу нужно первоначально заразить систему. Ну или если вы хотели пересобрать ПК, самое время поменять материнскую плату. Более сложно и развернуто про это написали Касперски Лаб, прочитать можно тут.