Cyberprzestępcy mogą mieć łatwiejszy dostęp do laptopów MSI po tym, jak gang zajmujący się ransomware ujawnił prywatne klucze do podpisywania kodu dla produktów firmy.
Źródła przecieku sięgają grupy znanej jako Money Message, która w zeszłym miesiącu ogłosiła, iż dokonała infiltracji MSI i wykradła wrażliwe pliki firmy, w tym rzekomy kod źródłowy. Money Message twierdzi, iż MSI odmówiło zapłaty za utrzymanie informacji w tajemnicy, więc w czwartek zamieściło skradzione dane na swojej stronie w dark webie.
Zajmująca się bezpieczeństwem cybernetycznym firma Binarly przeanalizowała ujawnione pliki i potwierdziła, iż zawierają one prywatne klucze podpisywania kodu dla firmware’u MSI w 57 produktach. (Strona Binarly na GitHubie wymienia nazwy wszystkich modeli, których dotyczy problem).
Recently, @msiUSA announced a significant data breach. The data has now been made public, revealing a vast number of private keys that could affect numerous devices.
FW Image Signing Keys: 57 products
Intel BootGuard BPM/KM Keys: 166 products
— Alex Matrosov (@matrosov) May 4, 2023
Klucze te są ważne, ponieważ MSI używa ich do poświadczenia, iż aktualizacja firmware pochodzi od firmy. W przeciwnym razie, komputer może oznaczyć oprogramowanie jako niezaufane i potencjalnie złośliwe.
Teraz te wyciekłe klucze mogą trafić w niepowołane ręce i zostać nadużyte do podpisania złośliwego systemu w przebraniu systemu związanego z MSI. “Klucze podpisujące obraz firmware’u pozwalają atakującemu na przygotowanie złośliwych aktualizacji firmware’u i mogą być dostarczone poprzez normalne procesy aktualizacji BIOS-u dzięki narzędzi aktualizacyjnych MSI”, powiedział dyrektor generalny Binarly, Alex Matrosov.
Możliwe jest, iż złośliwa aktualizacja firmware’u może być dostarczona przez fałszywe strony internetowe lub wiadomości e-mail podszywające się pod MSI. Matrosov twierdzi jednak, iż główny wektor ataku polega na wykorzystaniu kluczy prywatnych “jako ładunku drugiego stopnia” po tym, jak początkowy kompromis nastąpi poprzez przeglądarkę lub atak phishingowy oparty na dokumentach. Większość systemów antywirusowych milczałaby, ponieważ złośliwe oprogramowanie zostałoby cyfrowo podpisane jako należące do MSI i rozpoznane jako legalna aktualizacja firmware.
Digging deeper into the aftermath of the @msiUSA data breach and its impact on the industry.
Leaked Intel BootGuard keys from MSI are affecting many different device vendors, including @Intel , @Lenovo, @Supermicro_SMCI, and many others industry-wide.
#FwHunt is on! https://t.co/NuPIUJQUgr pic.twitter.com/ZB8XKj33Hv
— BINARLY (@binarly_io) May 5, 2023
Kolejnym problemem jest to, iż wyciek zawiera również prywatne klucze podpisujące dla Intel Boot Guard, który może zweryfikować, czy adekwatny kod komputerowy jest uruchamiany podczas pierwszego uruchomienia komputera. Binarly znalazł prywatne klucze dla Intel Boot Guard w 116 produktach MSI. Firma podkreśliła, iż Intel Boot Guard jest używany w całej branży technologicznej.
“Wyciek kluczy Intel BootGuard ma wpływ na cały ekosystem (nie tylko MSI) i czyni tę funkcję bezpieczeństwa bezużyteczną” – dodał Matrosov.
Na razie MSI ostrzegło jedynie, iż klienci powinni instalować aktualizacje firmware’u i BIOS-u tylko z oficjalnych stron firmy – nie ze źródeł trzecich.
Mimo to, Matrosov obawia się, iż MSI ma ograniczone możliwości rozwiązania problemu. “Myślę, iż dla MSI będzie to skomplikowana sytuacja, ponieważ aby dostarczyć nowe klucze podpisujące, przez cały czas muszą używać tych, które wyciekły” – powiedział. “Nie wierzę, iż mają jakiekolwiek mechanizmy wycofania”.