传说中的威胁：针对微星设备BootGuard重签名实现UEFI攻击链

作者：HardcoreMatrix团队

2023年3月，Money Message勒索团伙针对微星(MSI)公司的网络攻击成功后，泄露了MSI的一些内部资料，其中包括BootGuard私钥等敏感数据。BootGuard安全机制是Intel硬件信任体系中重要的组成部分，而其私钥被泄露，预示着对于某些型号的设备，BootGuard这一主要的安全机制将被绕过。同时，泄露资料中还包括UEFI固件镜像签名密钥。

主板UEFI固件是计算机体系中的底层关键软件，而BootGuard是Intel安全体系中基于硬件信任根的重要完整性保护机制，它和CPU microcode、CSME组成了Intel体系中最核心的安全保障机制。

如果BootGuard被成功攻击，或攻击者取得OEM/ODM厂商的BootGuard私钥，则攻击者可以利用UEFI的实现缺陷、底层配置错误等方式并结合其他漏洞，可以完全绕过或对抗几乎所有已知安全机制，突破系统重重防御措施，如：SMM_BWP、BWE/BLE、PRx硬件安全机制，以及SecureBoot，HCVI、PatchGuard、kASLR、KDEP、SMEP、SMAP等内核安全防护技术；以及各类主流杀毒软件和EDR/XDR系统，获得对设备的持久性控制。

HardcoreMatrix团队经过深入研究，并重写了部分缺失的厂商内部工具，针对MSI modern-15-b12m设备（intel第12代CPU: i5-1235u）成功实现了BootGuard私钥重签名、胶囊更新重签名，以及SMM Rootkit等完整攻击链，以此展示此类供应链威胁的严重性，详细内容请见演示视频。事实证明，MSI资料泄露所带来的供应链威胁是真实的，严重的，可操作的。

我们认为，本次MSI资料泄露是严重的攻击事件。由于BootGuard私钥的特殊性（公钥hash固化在FPFs中），其属于最基本的信任根之一，暂时无法修补，这将造成众多型号的设备面临长期的安全威胁。

基于上述研究成果，HardcoreMatrix团队和安全内参社区共同面向国内政企机构给出了风险防范建议。

问：此次MSI资料泄露事件带来的UEFI Bootkit攻击链影响范围有多大？

答：主要包括Sword-17-A12UCX、Stealth-17Studio-A13VF、Modern-15-B13M等附录A中的上百款微星型号，不涉及其他品牌。

问：使用受影响的微星型号设备，会有什么影响？

答：可无感知突破设备现有安全防护，获取设备的持久性控制。

问：更新系统能解决问题吗？

答：由于BootGuard公钥hash固化在FPFs中，属于最基本的信任根之一，暂时无法修补，这将造成众多型号的设备面临长期的安全威胁。

问：政企机构可能因此面临哪些风险？

答：使用附录A列出的微星设备，相比其他型号的设备存在较高的底层UEFI后门驻留风险。

问：政企机构该如何应对相关风险？

答：对于安全等级较高的场景，可对内部资产和外部供应商进行排查，暂时更换为其他不存在私钥泄露风险的型号。