Blog

Mar 22, 2023

La perdita delle chiavi Intel Boot Guard potrebbe avere ripercussioni sulla sicurezza per anni

The potential leak from MSI Gaming of signing keys for an important security

La potenziale fuga di notizie da parte di MSI Gaming sulla firma delle chiavi per un'importante funzionalità di sicurezza nel firmware basato su Intel potrebbe gettare un'ombra sulla sicurezza del firmware per gli anni a venire e lasciare i dispositivi che utilizzano le chiavi altamente vulnerabili agli attacchi informatici, dicono gli esperti di sicurezza.

Intel sta ancora "indagando attivamente" su una presunta fuga di chiavi private Intel Boot Guard per 116 prodotti MSI, ha detto la società a Dark Reading. L'indagine arriva dopo un'affermazione di Alex Matrosov, CEO della piattaforma di sicurezza della catena di fornitura del firmware Binarly, secondo cui il codice sorgente trapelato da un attacco informatico del marzo 2023 su MSI include questi dati, nonché chiavi private di firma di immagini per 57 prodotti MSI.

"Confermato, è trapelata la chiave privata Intel OEM, causando un impatto sull'intero ecosistema. Sembra che Intel BootGuard potrebbe non essere efficace su alcuni dispositivi basati sui processori 11° Tiger Lake, 12° Adler Lake e 13° Raptor Lake", ha twittato.

La presunta fuga di notizie arriva circa un mese dopo che una banda di ransomware emergente tracciata come "Money Message" ha colpito MSI con sede a Taiwan con un attacco ransomware a doppia estorsione, sostenendo di aver rubato 1,5 TB di dati durante l'attacco, inclusi firmware, codice sorgente e database .

Quando il riscatto di 4 milioni di dollari richiesto dal gruppo non è stato pagato, gli aggressori hanno iniziato a pubblicare i dati rubati durante l’attacco sul loro sito di fuga di notizie. La settimana scorsa, i dati rubati di MSI, incluso il codice sorgente del firmware utilizzato dalle schede madri dell'azienda, sono comparsi su quel sito.

Intel Boot Guard è una tecnologia di sicurezza basata su hardware volta a proteggere i computer dall'esecuzione di firmware UEFI (Unified Extensible Firmware Interface) manomesso e non originale, "che potrebbe verificarsi nel caso in cui un possibile utente malintenzionato abbia aggirato la protezione contro la modifica del BIOS", Lo ha spiegato il Team Binarly efiXplorer in un post sul blog pubblicato lo scorso novembre.

Quel post è arrivato in risposta a una fuga di notizie di ottobre del BIOS UEFI di Alder Lake, il nome in codice di Intel per il suo ultimo processore, nonché delle coppie di chiavi richieste da Boot Guard durante la fase di provisioning.

Se gli autori delle minacce entrano in possesso delle chiavi di firma Intel Boot Guard relative a MSI, potrebbero potenzialmente caricare firmware vulnerabile sui dispositivi interessati, tra cui le schede madri MSI, che sembrano essere firmati dal fornitore e quindi legittimi.

Inoltre, il BIOS viene eseguito anche prima del sistema operativo del dispositivo, il che significa che il codice vulnerabile è presente al livello più elementare del dispositivo e quindi difficile da applicare con patch o da cui difendersi, complicando ulteriormente lo scenario, osserva un esperto di sicurezza.

"A causa della natura di come queste chiavi sono incorporate e utilizzate, il consueto consiglio di installare patch di sicurezza potrebbe non essere possibile", ha detto in una e-mail a Dark Reading Darren Guccione, CEO e co-fondatore della società di software di sicurezza informatica Keeper Security.

Per rimediare al problema, i team di sicurezza dovrebbero potenzialmente implementare "controlli non standard per monitorare eventuali violazioni se il malware inizia a utilizzare queste chiavi", osserva. "Senza una soluzione di sicurezza semplice, questo potrebbe diventare un vettore di attacco dannoso a lungo termine", afferma Guccione.

Guai futuri al firmware

In effetti, il lungo termine è ciò che preoccupa gli esperti di sicurezza riguardo alla fuga di notizie. Dicono che è probabile che gli autori delle minacce si avventino sulla disponibilità delle chiavi di firma di Intel Boot Guard, presentando un grave problema di sicurezza del firmware per gli anni a venire.

"Il furto delle chiavi di firma, soprattutto per qualcosa che può essere aggiornato solo nel firmware (il che significa che poche persone lo faranno), di solito comporta una lunga serie di incidenti anni dopo la divulgazione", ha avvertito John Bambenek, principale cacciatore di minacce presso Netenrich, un'agenzia di sicurezza. e società SaaS di analisi operativa.

Il suo commento solleva un buon punto: la vulnerabilità intrinseca del firmware obsoleto dei dispositivi, che spesso viene trascurata nei cicli di patch e quindi, se vulnerabile, rappresenta una superficie di attacco ampia e pericolosa, osserva Matt Mullins, ricercatore senior sulla sicurezza presso Cybrary.

"Considerando che la maggior parte delle persone non applica patch all'UEFI o al firmware in generale, le persone interessate probabilmente non sapranno come applicare le patch a questi dispositivi in ​​modo appropriato", afferma. "L'accesso fornito agli autori malintenzionati a questo proposito è in qualche modo peggiore che ottenere un SYSTEM o una shell root."