Hakeri koji stoje iza ransomware napada na tajvanskog proizvođača računara MSI prošlog mjeseca procurili su u javnost sa privatnim ključevima za potpisivanje kodova kompanije na njihovoj dark web stranici.
„Potvrđeno, Intelov OEM privatni ključ je procurio, što je izazvalo uticaj na ceo ekosistem“ rekao je Aleks Matrosov, osnivač i izvršni direktor firme za bezbjednost firmware-a Binarly, u tvitu tokom vikenda.
“Čini se da Intel Boot Guard možda neće biti efikasan na određenim uređajima zasnovanim na 11. Tiger Lake, 12th Adler Lake i 13th Raptor Lake.”
U procurelim podacima prisutni su ključevi za potpisivanje slike firmware-a povezani sa 57 računara i privatni ključevi za potpisivanje za Intel Boot Guard koji se koriste na 116 MSI proizvoda. Vjeruje se da ključevi Boot Guard iz MSI-a utiču na nekoliko proizvođača uređaja, uključujući Intel, Lenovo i Supermicro.
Intel Boot Guard je sigurnosna tehnologija zasnovana na hardware-u koja je dizajnirana da zaštiti računare od neovlašćenog pokretanja UEFI firmware-a.
Razvoj dolazi mjesec dana nakon što je MSI postao žrtva dvostrukog ransomware napada koji je počinila nova ransomware banda poznata kao Money Message.
MSI je, u regulatornoj dokumentaciji u to vrijeme, rekao da su “pogođeni sistemi postepeno nastavili sa normalnim radom, bez značajnog uticaja na finansijsko poslovanje.” Međutim, apeluje na korisnike da nabave ažuriranja firmware-a/BIOS-a samo sa svoje službene web stranice i da se suzdrže od preuzimanja datoteka iz drugih izvora.
Curenje ključeva Intel Boot Guard predstavlja značajne rizike jer podriva vitalnu provjeru integriteta firmware-a i može dozvoliti hakerima da potpišu maliciozna ažuriranja i druge payload-e i da ih implementuju na ciljane sisteme bez podizanja crvenih zastavica.
Takođe slijedi još jedan savjet od MSI-a koji preporučuje korisnicima da budu u potrazi za lažnim email-ovima koji ciljaju na zajednicu za online igre i koji tvrde da su iz kompanije pod izgovorom potencijalne saradnje.
Ovo nije prvi put da je UEFI firmware kod ušao u javno vlasništvo. U oktobru 2022. godine, Intel je priznao curenje izvornog koda BIOS-a Alder Lake-a od strane treće strane, što je takođe uključivalo privatni ključ za potpisivanje koji se koristi za Boot Guard.
Supermicro proizvodi nisu pogođeni
Nakon objavljivanja priče, Supermicro je za The Hacker News rekao da je istražio rizike koji proističu iz curenja Intel Boot Guard ključeva i da to ne utiče na njegove proizvode.
“Na osnovu našeg trenutnog pregleda i istrage, proizvodi Supermicro nisu pogođeni” rekao je glasnogovornik kompanije sa sjedištem u San Jose-u.
“Intel je svjestan ovih izvještaja i aktivno istražuje” rekao je proizvođač čipova za The Hacker News u izjavi.
“Postoje tvrdnje istraživača da su privatni ključevi za potpisivanje uključeni u podatke uključujući MSI OEM ključeve za potpisivanje za Intel Boot Guard. Treba napomenuti da Intel Boot Guard OEM ključeve generiše proizvođač sistema, a to nisu Intel ključevi za potpisivanje. “
Izvor: The Hacker News