A Intel está investigando o vazamento de supostas chaves privadas usadas pelo recurso de segurança Intel Boot Guard, o que potencialmente pode afetar a sua capacidade de bloquear a instalação de firmware UEFI (Unified Extensible Firmware Interface) malicioso em dispositivos fabricante taiwanesa de PCs MSI.
Em março, grupo de ransomware Money Message atacou a rede de computadores da MSI, alegando ter roubado 1,5 terabytes (TB) de dados durante o ataque, incluindo o firmware, código-fonte e bancos de dados. A gangue exigiu um resgate de US$ 4 milhões e, depois de a empresa não ser pago, começou a vazar os dados em seu site de vazamento de dados, incluindo o código-fonte do firmware usado pelas placas-mãe da empresa.
Na sexta-feira, 5, Alex Matrosov, CEO da plataforma de segurança da cadeia de suprimentos de firmware Binarly, alertou que o código-fonte vazado contém as chaves privadas de assinatura de imagem para 57 produtos MSI e chaves privadas Intel Boot Guard para 116 produtos MSI.
“A Intel está ciente desses relatórios e está investigando ativamente. Houve alegações de pesquisadores de que chaves de assinatura privadas estão incluídas nos dados, incluindo chaves de assinatura MSI OEM para Intel Boot Guard”, disse a Intel ao BleepingComputer.
“Deve-se observar que as chaves Intel Boot Guard OEM são geradas pela fabricante do sistema e não são chaves de assinatura da Intel.”
Matrosov disse que esse vazamento pode ter feito com que o Intel Boot Guard não fosse eficaz em dispositivos MSI usando CPUs “11th Tiger Lake, 12th Adler Lake e 13th Raptor Lake”. “Temos evidências de que todo o ecossistema da Intel foi afetado por essa violação de dados da MSI. É uma ameaça direta aos clientes da MSI e, infelizmente, não apenas a eles”, disse ele.
Veja isso
MSI admite invasão, mas nega ser alvo de ataque de ransomware
CPUs Intel vulneráveis a novo tipo de ataque de canal lateral
O Intel Boot Guard é um recurso de segurança incorporado ao hardware da Intel, projetado para impedir o carregamento de firmware malicioso, conhecido como UEFI bootkits. É um recurso crítico usado para atender aos requisitos do Windows UEFI Secure Boot. Isso ocorre porque o firmware malicioso é carregado antes do sistema operacional, permitindo que ele oculte suas atividades do kernel e do software de segurança, persista mesmo após a reinstalação de um sistema operacional e ajude a instalar malware em dispositivos comprometidos.
Para proteger contra firmware mal-intencionado, o Intel Boot Guard verifica se uma imagem de firmware é assinada usando uma chave de assinatura privada legítima usando uma chave pública incorporada ao hardware Intel. Se o firmware for verificado como legitimamente assinado, o Intel Boot Guard permite que ele seja carregado no dispositivo. No entanto, se a assinatura falhar, o firmware não poderá carregar.
O maior problema com esse vazamento é que se acredita que as chaves públicas usadas para verificar o firmware assinado usando as chaves vazadas estejam incorporadas ao hardware da Intel. Se eles não puderem ser modificados, o recurso de segurança não é mais confiável em dispositivos que usam essas chaves vazadas.