Η Intel διερευνά διαρροή ιδιωτικών κλειδιών Intel Boot Guard μετά από παραβίαση του MSI

Η Intel διερευνά τη διαρροή φερόμενων ιδιωτικών κλειδιών που χρησιμοποιούνται από τη δυνατότητα ασφαλείας Intel Boot Guard, επηρεάζοντας ενδεχομένως την ικανότητά της να εμποδίζει την εγκατάσταση κακόβουλου υλικολογισμικού UEFI σε συσκευές MSI.

Τον Μάρτιο, η συμμορία εκβιαστών Money Message επιτέθηκε στο υλικό υπολογιστών της εταιρείας MSI, ισχυριζόμενη ότι είχε κλέψει 1,5 TB δεδομένων κατά τη διάρκεια της επίθεσης, συμπεριλαμβανομένου του υλικολογισμικού, του πηγαίου κώδικα και των βάσεων δεδομένων.

Όπως αναφέρθηκε αρχικά από το BleepingComputer, η συμμορία ransomware ζήτησε λύτρα 4.000.000 δολαρίων και, αφού δεν πληρώθηκε, άρχισε να διαρρέει τα δεδομένα για την MSI στον ιστότοπο διαρροής δεδομένων της.

Την περασμένη εβδομάδα, οι παράγοντες της απειλής άρχισαν να διαρρέουν τα κλεμμένα δεδομένα της MSI, συμπεριλαμβανομένου του πηγαίου κώδικα για το υλικολογισμικό που χρησιμοποιούν οι μητρικές πλακέτες της εταιρείας.

Το Intel Boot Guard επηρεάστηκε από επίθεση

Την Παρασκευή, ο Alex Matrosov, Διευθύνων Σύμβουλος της πλατφόρμας ασφάλειας εφοδιαστικής αλυσίδας υλικολογισμικού Binarly, προειδοποίησε ότι ο πηγαίος κώδικας διέρρευσε περιέχει τα ιδιωτικά κλειδιά υπογραφής εικόνας για 57 προϊόντα MSI και τα ιδιωτικά κλειδιά Intel Boot Guard για 116 προϊόντα MSI.

“Η Intel γνωρίζει αυτές τις αναφορές και διερευνά ενεργά. Υπήρξαν ισχυρισμοί ερευνητών ότι τα ιδιωτικά κλειδιά υπογραφής περιλαμβάνονται στα δεδομένα, συμπεριλαμβανομένων των κλειδιών υπογραφής MSI OEM για το Intel® BootGuard”, είπε η Intel στο BleepingComputer απαντώντας στις ερωτήσεις μας σχετικά με τη διαρροή.

“Θα πρέπει να σημειωθεί ότι τα κλειδιά OEM Intel BootGuard δημιουργούνται από τον κατασκευαστή του συστήματος και δεν είναι κλειδιά υπογραφής Intel.”

Ο Matrosov είπε ότι αυτή η διαρροή μπορεί να έκανε το Intel Boot Guard να μην είναι αποτελεσματικό σε συσκευές MSI που χρησιμοποιούν CPU “11th Tiger Lake, 12th Adler Lake και 13th Raptor Lake”.

“Έχουμε αποδείξεις ότι ολόκληρο το οικοσύστημα της Intel επηρεάζεται από αυτήν την παραβίαση δεδομένων MSI. Είναι μια άμεση απειλή για τους πελάτες της MSI και δυστυχώς όχι μόνο για αυτούς”, είπε ο Matrosov στο BleepingComputer την Παρασκευή το απόγευμα.

“Τα κλειδιά υπογραφής για την εικόνα fw επιτρέπουν σε έναν εισβολέα να δημιουργεί κακόβουλες ενημερώσεις υλικολογισμικού και μπορεί να παραδοθεί μέσω μιας κανονικής διαδικασίας ενημέρωσης του bios με τα εργαλεία ενημέρωσης MSI.”

“Η διαρροή κλειδιών Intel Boot Guard επηρεάζει ολόκληρο το οικοσύστημα (όχι μόνο το MSI) και καθιστά αυτήν τη δυνατότητα ασφαλείας άχρηστη.”

Το Intel Boot Guard είναι μια δυνατότητα ασφαλείας ενσωματωμένη στο σύγχρονο υλικό Intel που έχει σχεδιαστεί για να αποτρέπει τη φόρτωση κακόβουλου υλικολογισμικού, γνωστού ως bootkits UEFI. Είναι μια κρίσιμη δυνατότητα που χρησιμοποιείται για την κάλυψη των απαιτήσεων ασφαλούς εκκίνησης UEFI των Windows.

Αυτό συμβαίνει επειδή το κακόβουλο υλικολογισμικό φορτώνεται πριν από το λειτουργικό σύστημα, επιτρέποντάς του να κρύβει τις δραστηριότητές του από τον πυρήνα και το λογισμικό ασφαλείας, επιμένει ακόμη και μετά την επανεγκατάσταση ενός λειτουργικού συστήματος και βοηθά στην εγκατάσταση κακόβουλου λογισμικού σε συσκευές που έχουν παραβιαστεί.

Για προστασία από κακόβουλο υλικολογισμικό, το Intel Boot Guard θα επαληθεύσει εάν μια εικόνα υλικολογισμικού έχει υπογραφεί χρησιμοποιώντας ένα νόμιμο ιδιωτικό κλειδί υπογραφής χρησιμοποιώντας ένα ενσωματωμένο δημόσιο κλειδί ενσωματωμένο στο υλικό Intel.

Εάν το υλικολογισμικό μπορεί να επαληθευτεί ως νόμιμα υπογεγραμμένο, το Intel Boot Guard θα επιτρέψει τη φόρτωσή του στη συσκευή. Ωστόσο, εάν η υπογραφή αποτύχει, δεν θα επιτρέπεται η φόρτωση του υλικολογισμικού.

Το μεγαλύτερο πρόβλημα με αυτήν τη διαρροή είναι ότι τα δημόσια κλειδιά που χρησιμοποιούνται για την επαλήθευση του υλικολογισμικού που έχουν υπογραφεί χρησιμοποιώντας τα κλειδιά που διέρρευσαν πιστεύεται ότι είναι ενσωματωμένα στο υλικό της Intel. Εάν δεν μπορούν να τροποποιηθούν, η δυνατότητα ασφαλείας δεν είναι πλέον αξιόπιστη σε συσκευές που χρησιμοποιούν αυτά τα κλειδιά που διέρρευσαν.

“Τα ιδιωτικά κλειδιά Manifest (KM) και Boot Policy Manifest (BPM) βρέθηκαν στον πηγαίο κώδικα MSI που διέρρευσε. Αυτά τα κλειδιά χρησιμοποιούνται για την τεχνολογία Boot Guard που παρέχει επαλήθευση εικόνας υλικολογισμικού με ένα υλικό Root of Trust”, προειδοποιεί το Binarly σε μια συμβουλευτική κοινοποιήθηκε στις Κελάδημα.

“Το δημόσιο κλειδί κατακερματισμού OEM Root RSA από τον διαχειριστή KM προγραμματίζεται στο Field Programmable (FPF) του chipset. Ο κύριος σκοπός του KM είναι να αποθηκεύσει τον κατακερματισμό ενός δημόσιου κλειδιού RSA από το BPM το οποίο με τη σειρά του περιέχει τις πληροφορίες για την εκκίνηση Πολιτική, περιγραφή Initial Boot Block (IBB) και είναι hash.”

“Τα ιδιωτικά μέρη των αναφερθέντων κλειδιών που διέρρευσαν επιτρέπουν σε έναν πιθανό εισβολέα να υπογράψει το τροποποιημένο υλικολογισμικό για αυτήν τη συσκευή, επομένως θα περνούσε την επαλήθευση του Intel Boot Guard καθιστώντας αυτήν την τεχνολογία εντελώς αναποτελεσματική.”

Αν και αυτά τα κλειδιά πιθανότατα δεν θα είναι χρήσιμα για τους περισσότερους παράγοντες απειλών, ορισμένοι έμπειροι εισβολείς έχουν χρησιμοποιήσει στο παρελθόν κακόβουλο υλικολογισμικό σε επιθέσεις, όπως το κακόβουλο λογισμικό CosmicStrand και BlackLotus UEFI.

“Τώρα η δυνατότητα μπορεί να παραβιαστεί και οι εισβολείς μπορούν να δημιουργήσουν κακόβουλες ενημερώσεις υλικολογισμικού σε συσκευές που επηρεάζονται χωρίς να ανησυχούν για το Intel Boot Guard”, δήλωσε ο Matrosov σε μια τελική προειδοποίηση που κοινοποιήθηκε στο BleepingComputer.

Binarly έχει κυκλοφόρησε μια λίστα με επηρεασμένο υλικό MSIπου περιλαμβάνει 116 συσκευές MSI που φέρεται να έχουν παραβιαστεί από τα κλειδιά Intel Boot Guard που διέρρευσαν.

Η BleepingComputer επικοινώνησε επίσης με την MSI και την Intel με περαιτέρω ερωτήσεις, αλλά δεν υπήρξε άμεση απάντηση.

Ενημέρωση 5/8/23: Προστέθηκε δήλωση από την Intel