MSI live update software lijkt vatbaar voor MitM attack

zojuist wou ik mijn drivers updaten. hiervoor heeft MSI een leuke handige tool.
MSI live update. deze tool maakt het handig om met 1 druk op de knop alle MSI hard/software te updaten.

Het zoeken en downloaden van de content gebeurt echter in HTTP. De content die gedownload wordt zou prima vervangen kunnen worden, als je als responder in een MitM situatie de content vervangt. mogelijk zit ik er naast, zou graag met de community over de situatie oordelen.

aanvraag uit PCAP

GET /autobios/DataBase/Config/DefList.rec HTTP/1.1
User-Agent: Live Update
Host: liveupdate.msi.com
Cache-Control: no-cache
Cookie: _gid=GA1.2.97878135.1581927019; _ga=GA1.2.1084460428.1581927019

HTTP/1.1 200 OK
Server: Apache
ETag: "3db7242525d9434a226670632151a569:1577959531"
Last-Modified: Thu, 02 Jan 2020 09:36:38 GMT
Content-Type: text/plain
Expires: Mon, 17 Feb 2020 08:52:25 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Mon, 17 Feb 2020 08:52:25 GMT
Content-Length: 2951
Connection: keep-alive

nadat ik gister melding gemaakt heb, hebben ze de fout deels erkend gaan ze iets aanpassen in de eerst volgende versie van de MSI live update app.

Echter valt op de reactie op te merken dat de impact nog niet helemaal begrepen wordt. hierop heb ik nogmaals mijn zorgen geuit.

Melding:

I found a couple of security issues regarding software updates with MSI live update.


the downloads getting downloaded in plain text HTTP. also the URL supplied to the downloads are in plain text and therefore replacable with malware in case of a MitM attack.

also the software I tested on (x_booster) isn't digitaly signed. therefore MSI live update would always execute a file with the same name infecting a maching.


mitigation recommendation:

get the install files signed.
get the files signed and checked by the live update software.
get the downloads and requests to downloads in SSL.

reactie:

Dear dezejongeman,

MSI LiveUpdate APP is only access & download files from MSI LiveUpdate server.

No possible to download some malwares by modified .txt.


But we understand what you concern, we will modify msi LiveUpdate APP for the next version , and encryp all files to avoid some malwares.


Thank you very much for your suggestion.


Best Regard,

Jinchih

[ Voor 38% gewijzigd door dezejongeman op 18-02-2020 11:11 . Reden: toevoegen van info over reactie MSI ]

Dat gezegd hebbend: komt de download zelf of de te downloaden URL ook via http? Zo niet, is er slechts een beperkte privacy-inbreuk ("Eve kan zien welke hardware je hebt"). Zo wel, dan is er idd een MitM mogelijk, als er niet clientside wordt gekeken naar de handtekening van de installer. In theorie kan de MSI tool die checken en stoppen zodra die niet van MSI maar van Mallory blijkt te komen.

Edit: Eve / Mallory: Wikipedia: Alice and Bob

Ik heb zojuist even getest met de X_Boost tool welke ik nog niet op mijn pc heb staan. De URL komt idd voorbij. in TCP-stream komt wordt onderstaande FILE van de server opgevraagd met onderstaande GET.

[Expert Info (Chat/Sequence): GET /*.exe HTTP/1.1\r\n]

de volledige URL die voorbij komt is:

[Full request URI: http://li****.exe]

[ Voor 5% gewijzigd door dezejongeman op 18-02-2020 09:01 . Reden: aangepast om niet te veel detail vrij te geven over de mogelijkheid tot misbruik ]