Ранее на этой неделе Microsoft выпустила патч для исправления уязвимости Secure Boot, используемой буткитом BlackLotus, о котором мы сообщали в марте. Первоначальная уязвимость CVE-2022-21894 была исправлена в январе. Новый патч безопасности CVE-2023-24932 устраняет другой активно используемый злоумышленниками обходной путь для систем под управлением Windows 10/11 и версий Windows Server, начиная с Windows Server 2008.

Источник изображения: pixabay

Буткит BlackLotus — это вредоносное ПО, которое способно обходить средства защиты Secure Boot, позволяя выполнять вредоносный код до того, как компьютер начнёт загружать Windows и её многочисленные средства защиты. Безопасная загрузка уже более десяти лет включена по умолчанию на большинстве ПК с Windows, продаваемых такими компаниями, как Dell, Lenovo, HP, Acer и другими. На компьютерах под управлением Windows 11 она должна быть включена, чтобы соответствовать системным требованиям программного обеспечения.

Microsoft заявляет, что уязвимость может быть использована злоумышленником, имеющим либо физический доступ к системе, либо права администратора. Новое исправление безопасности выделяется тем, что компьютер больше не сможет загружаться со старых загрузочных носителей, не содержащих исправления. Не желая внезапно сделать пользовательские системы незагружаемыми, Microsoft намерена выпускать обновление поэтапно в течение следующих нескольких месяцев. В июле последует второе обновление, которое не включит исправление по умолчанию, но упростит его включение. Третье обновление в первом квартале 2024 года активирует обновление безопасности по умолчанию и сделает старые загрузочные носители недоступными для загрузки на всех ПК с установленными исправлениями Windows. Microsoft говорит, что «ищет возможности ускорить этот график».

Это не единственный недавний инцидент с безопасностью, подчёркивающий трудности исправления низкоуровневых уязвимостей Secure Boot и UEFI. У компании MSI недавно произошла утечка ключей подписи в результате атаки программы-вымогателя, после чего Intel, ответственная за аппаратную защиту целостности загрузки BIOS, выпустила официальное заявление по поводу случившегося.

Осенью 2021 года компания MSI выпустила серию твердотельных накопителей Spatium M480 стандарта PCIe 4.0. Тогда в неё вошли модели объёмом 512 Гбайт, 1 и 2 Тбайт со скоростью последовательного чтения до 7000 Мбайт/с, и записи — до 6800 Мбайт/с. Сегодня производитель представил серию Spatium M480 Pro — эти SSD предлагают более высокие скорости чтения и записи до 7400 и 7000 Мбайт/с соответственно.

Источник изображений: MSI

В серии накопителей Spatium M480 Pro производитель отказался от модели объёмом 512 Гбайт, но добавил модель объёмом 4 Тбайт. Новинки используют тот же контроллер памяти Phison E18, что и модели Spatium M480. Судя по всему, MSI применила в новинках более скоростную память DRAM, а также поработала над оптимизацией программного обеспечения накопителей, добавившись от них более высокой скорости работы.

Модели накопителей Spatium M480 Pro объёмом 1, 2 и 4 Тбайт оснащены кеш-памятью DDR4 объём 1, 2 и 2 Гбайт соответственно. В состав серии вошли обычные модели Spatium M480 Pro без радиатора охлаждения, HS-модели с массивным алюминиевым радиатором, а также модели Play, которые оснащаются более компактными алюминиевыми радиаторами, позволяющими использовать накопители с игровыми приставками Sony PlayStation 5.

Для всех накопителей серии Spatium M480 Pro производитель заявляет скорость последовательного чтения до 7400 Мбайт/с. Скорость последовательной записи у версии SSD объёмом 1 Тбайт составляет до 6000 Мбайт/с, у вариантов на 2 и 4 Тбайт — 7000 Мбайт/с. Производительность в операциях случайного чтения у младшей модели составляет 750 тыс. IOPS, у версий на 1 и 2 Тбайт — 1 млн IOPS. Показатель быстродействия в операциях случайной записи у всех равен 1 млн IOPS.

Энергопотребление у модели объёмом 1 Тбайт составляет 9,5 Вт, у версии на 2 Тбайт — 10,5 Вт, а у варианта на 4 Тбайт — 11,3 Вт. Всё это вписывается в пределы максимального показателя TDP в 11,55 Вт, принятого JEDEC для носителей этого стандарта.

На накопители серии Spatium M480 Pro предоставляется пятилетняя гарантия производителя.

В прошлом месяце с серверов MSI хакеры похитили конфиденциальные ключи сертификации программного обеспечения для продуктов компании. Как выяснили специалисты Binarly, помимо прочего злоумышленники похитили ключи Intel Boot Guard, которые должны обеспечивать аппаратную защиту BIOS. Вчера Intel выпустила официальное заявление по поводу случившегося.

Источник изображения: pixabay

Группировка Money Message, взломавшая серверы MSI, требовала от производителя выкуп $4 млн, но он не был выплачен. В итоге файлы, украденные во время серьёзного взлома MSI в прошлом месяце, начали распространяться по даркнету. Одна из наиболее важных находок, обнаруженных среди украденных данных — ключи безопасности Intel Boot Guard. Они используются для цифровой подписи программного обеспечения, исполняемого до загрузки ОС. В частности, MSI подписывала ими свои обновления BIOS, чтобы пройти проверку безопасности Intel Boot Guard.

Теперь хакеры могут использовать ключ для подписи вредоносных BIOS, прошивок и приложений, которые будут полностью соответствовать официальным релизам MSI. Более того, по данным исследователей в сфере кибербезопасности, утекшие ключи позволят атаковать устройства на процессорах Core 11-, 12- и 13-го поколений. Пострадать от компрометации ключей может не только продукция MSI, но и других производителей. В частности, в утекших файлах MSI эксперты по кибербезопасности обнаружили по меньшей мере один OEM-ключ платформы Intel, который также можно найти на устройствах HP, Lenovo, AOPEN, CompuLab и Star Labs.

8 мая сама Intel выпустила официальное заявление, в котором говорится о том, что ключи генерируются OEM-производителями (то есть MSI), а не самой Intel: «Intel знает об этих сообщениях и активно расследует их. Исследователи утверждают, что в данные включены закрытые ключи подписи, в том числе ключи подписи MSI OEM для Intel Boot Guard. Следует отметить, что OEM-ключи Intel Boot Guard генерируются производителем системы и не являются ключами подписи Intel».

После взлома в прошлом месяце MSI начала призывать клиентов получать обновления прошивки/BIOS исключительно со своего официального веб-сайта. У известной фирмы по производству ПК, комплектующих и периферийных устройств вымогала деньги группа хакеров под названием Money Message. Вымогатели похитили 1,5 Тбайт данных, включая различные файлы исходного кода, закрытые ключи и инструменты для разработки прошивок. Сообщается, что Money Message потребовали более четырёх миллионов долларов, чтобы вернуть все данные обратно MSI.

Хакерская группа Money Message упростила взлом ноутбуков компании MSI, опубликовав конфиденциальные ключи сертификации программного обеспечения для продуктов производителя, похищенные ранее с серверов самой MSI. Теперь злоумышленники могут заражать ноутбуки под видом официальных BIOS, и система не заметит подвоха.

Источник изображения: Pete Linforth / pixabay.com

В прошлом месяце серверы MSI подверглись хакерской атаке. Злоумышленники похитили конфиденциальные данные и пригрозили их опубликовать, если MSI не заплатит им выкуп в размере нескольких миллионов долларов. Судя по всему, компания не пошла на сделку с хакерами, поэтому последние в четверг на своём сайте в даркнете опубликовали различные закрытые данные производителя, включая ключи аутентификации программного обеспечения для ноутбуков MSI.

Компания Binarly, занимающаяся вопросами кибербезопасности, проанализировала слитые хакерами данные и подтвердила, что в них помимо прочего содержатся ключи BIOS для 57 моделей ноутбуков компании. Binarly опубликовала на своей странице в репозитории GitHub список затронутых моделей ноутбуков.

Скриншот с частью похищенных данных. Источник изображения: PCMag

Эти ключи носят важное значение, поскольку MSI использует их для сертификации обновлений своего программного обеспечения. Без них компьютер будет воспринимать обновление ПО как ненадёжное и потенциально вредоносное. Теперь эти ключи могут оказаться не в тех руках и использоваться для подписи вредоносного кода, но системой он будет восприниматься, как официальный от производителя.

«Ключи подписи к ПО позволяют злоумышленнику создавать вредоносные обновления прошивки, которые могут быть доставлены на систему жертвы через обычные процессы обновления BIOS с помощью инструментов обновления MSI», — прокомментировал в разговоре с изданием PCMag глава компании Binarly Алекс Матросов (Alex Matrosov).

Посредством ключей вредоносное ПО может оказаться на компьютере пользователя через фейковые сайты или электронные письма, якобы от MSI. Однако по словам Матросова, ключевой вектор атаки в данном случае будет проводиться через «вторичную загрузку» — после того, как вредоносное ПО окажется на компьютере жертвы посредством загрузки через браузер или фишинговую атаку. Большинство антивирусных систем в этом случае просто проигнорируют вредоносное ПО на компьютере, поскольку посчитают, что оно подписано самим производителем.

Ещё одной проблемой является утечка ключей для Intel Boot Guard, которая обеспечивает аппаратную защиту целостности загрузки BIOS, отслеживает несанкционированные блоки загрузки и запрещает их исполнение. По данным Binarly, в утёкших данных MSI содержатся ключи Intel Boot Guard для 117 продуктов компании. При этом отмечается, что технология Intel Boot Guard используется во многих сегментах.

«Утечка ключей Intel BootGuard накладывает отпечаток на всей экосистеме, а не только на продуктах MSI, и делает эту функцию безопасности бесполезной», — говорит Матросов. В MSI и Intel на запрос комментариев PCMag не ответили.

К настоящему моменту в MSI лишь посоветовали своим пользователям не скачивать её софт из неофициальных источников. По мнению Матросова, у MSI очень ограничен выбор возможных решений этой проблемы. «Мне кажется, что MSI оказалась в очень затруднительной ситуации, поскольку для обновления ключей на новые безопасные потребуется использовать старые ключи, которые были похищены. Я не думаю, что у компании имеется некий механизм, позволяющий просто отозвать скомпрометированные ключи», — добавил эксперт.

Компания NVIDIA потребовала от MSI отозвать из продажи видеокарты GeForce RTX 3060 Ti Super 3X спустя всего неделю после начала поставок, пишет издание HKEPC. Использование слова «Super» в названии видеокарты явно не понравилось NVIDIA.

Источник изображения: MSI

Хотя сама NVIDIA не выпускала в рамках серий GeForce RTX 3000 и GeForce RTX 4000 видеокарты с приставкой Super в названии, в перспективе для новейшего семейства такое всё же может произойти. Использование бренда Super для обычной видеокарты GeForce RTX 3060 Ti, судя по всему, по мнению NVIDIA, могло ввести в заблуждение потенциальных покупателей. Следует также отметить, что видеокарты моделей Super последний раз NVIDIA выпускала в рамках архитектуры Turing — GeForce RTX 20-й и GTX 16-й серий.

Таким образом, история модели GeForce RTX 3060 Ti Super 3X закончилась, не успев толком начаться. Значительный просчёт со стороны MSI мог произойти из-за того, что NVIDIA не предоставила достаточно чёткие указания по выпуску новых продуктов в рамках серии GeForce RTX 4000, либо MSI посчитала, что поскольку модель GeForce RTX 3060 Ti Super 3X планировалось выпускать только на рынках Азии, то это не создаст проблем для производителя графических процессоров.

MSI уже удалила GeForce RTX 3060 Ti Super 3X со своего официального сайта. Если часть видеокарт всё же успела оказаться на полках магазинов, то они могут привлечь внимание коллекционеров.

Компания MSI представила видеокарту GeForce RTX 3060 Ti Super 3X. Выбор названия ускорителя может вводить в заблуждение потенциальных покупателей — ничего общего с выпускавшимися прежде NVIDIA под названием Super видеокартами новинка не имеет — это обычная GeForce RTX 3060 Ti.

Источник изображений: MSI

Как известно, некоторые модели видеокарт поколения Turing (GeForce GTX 16-й и RTX 20-й серии) спустя какое-то время после выхода стали выпускаться в обновлённых версиях Super. В них применялись чуть более производительных GPU по сравнению с обычными моделями: например, у GeForce RTX 2070 было 2304 ядер CUDA, тогда как у GeForce RTX 2070 Super было уже 2560 ядер. Однако MSI GeForce RTX 3060 Ti Super 3X с точки зрения GPU не отличается от обычных RTX 3060 Ti.

В рамках серии GeForce RTX 3000 компания NVIDIA вообще не выпускала модели Super. За основу для GeForce RTX 3060 Ti Super X взята модель RTX 3060 Ti с памятью GDDR6X, которую NVIDIA представила в прошлом году.

Внешний вид новинка заимствует у модели MSI GeForce RTX 3070 Suprim. На задней усиливающей пластине виден логотип этой серии. Очевидно, что MSI решила просто использовать некоторые оставшиеся системы охлаждения старшей модели для выпуска младшей.

Карта получила 8 Гбайт памяти GDDR6X. Графический процессор видеокарты имеет заводской разгон и работает на частоте 1845 МГц. Заявленный показатель энергопотребления ускорителя составляет 265 Вт. Питание ускоритель получает по двум 8-контактным разъёмам.