Intel enquête sur la fuite de clés privées présumées utilisées par la fonction de sécurité Intel Boot Guard, ce qui pourrait avoir un impact sur sa capacité à bloquer l’installation de micrologiciels UEFI malveillants sur les appareils MSI.

En mars, le gang d’extorsion Money Message a attaqué le matériel informatique de MSI, affirmant avoir volé 1,5 To de données lors de l’attaque, y compris le micrologiciel, le code source et les bases de données.

Comme indiqué pour la première fois par Breachtrace, le gang de rançongiciels a exigé une rançon de 4 000 000 $ et, après n’avoir pas été payé, a commencé à divulguer les données de MSI sur leur site de fuite de données.

La semaine dernière, les acteurs de la menace ont commencé à divulguer les données volées de MSI, y compris le code source du micrologiciel utilisé par les cartes mères de l’entreprise.

Intel Boot Guard impacté par une attaque
Vendredi, Alex Matrosov, PDG de la plate-forme de sécurité de la chaîne d’approvisionnement du micrologiciel Binarly, a averti que le code source divulgué contient les clés privées de signature d’image pour 57 produits MSI et les clés privées Intel Boot Guard pour 116 produits MSI.

« Intel est au courant de ces rapports et enquête activement. Des chercheurs ont affirmé que des clés de signature privées sont incluses dans les données, y compris les clés de signature OEM MSI pour Intel® BootGuard », a déclaré Intel à Breachtarce en réponse à nos questions sur la fuite.

« Il convient de noter que les clés OEM Intel BootGuard sont générées par le fabricant du système et qu’il ne s’agit pas de clés de signature Intel. »

Matrosov a déclaré que cette fuite peut avoir empêché Intel Boot Guard d’être efficace sur les appareils MSI utilisant les processeurs « 11th Tiger Lake, 12th Adler Lake et 13th Raptor Lake ».

« Nous avons des preuves que l’ensemble de l’écosystème Intel est affecté par cette violation de données MSI. C’est une menace directe pour les clients MSI et malheureusement pas seulement pour eux », a déclaré Matrosov à Breachtarce vendredi après-midi.

« Les clés de signature pour l’image fw permettent à un attaquant de créer des mises à jour de micrologiciels malveillants et peuvent être livrées via un processus de mise à jour normal du bios avec des outils de mise à jour MSI. »

« La fuite des clés Intel Boot Guard a un impact sur l’ensemble de l’écosystème (pas seulement MSI) et rend cette fonctionnalité de sécurité inutile. »

Intel Boot Guard est une fonctionnalité de sécurité intégrée au matériel Intel moderne conçue pour empêcher le chargement de micrologiciels malveillants, appelés kits de démarrage UEFI. Il s’agit d’une fonctionnalité essentielle utilisée pour répondre aux exigences de démarrage sécurisé UEFI de Windows.

En effet, le micrologiciel malveillant se charge avant le système d’exploitation, ce qui lui permet de masquer ses activités au noyau et au logiciel de sécurité, de persister même après la réinstallation d’un système d’exploitation et d’aider à installer des logiciels malveillants sur les appareils compromis.

Pour vous protéger contre les micrologiciels malveillants, Intel Boot Guard vérifiera si une image de micrologiciel est signée à l’aide d’une clé de signature privée légitime à l’aide d’une clé publique intégrée intégrée au matériel Intel.

Si le micrologiciel peut être vérifié comme légitimement signé, Intel Boot Guard autorisera son chargement sur l’appareil. Cependant, si la signature échoue, le micrologiciel ne sera pas autorisé à se charger.

Le plus gros problème avec cette fuite est que les clés publiques utilisées pour vérifier le micrologiciel signé à l’aide des clés divulguées sont censées être intégrées au matériel Intel. S’ils ne peuvent pas être modifiés, la fonction de sécurité n’est plus fiable sur les appareils utilisant ces clés divulguées.

« Les clés privées Manifest (KM) et Boot Policy Manifest (BPM) ont été trouvées dans le code source MSI divulgué. Ces clés sont utilisées pour la technologie Boot Guard qui fournit une vérification de l’image du micrologiciel avec une racine de confiance matérielle », prévient Binarly dans un avis. partagé sur Twitter.

« La clé publique de hachage OEM Root RSA du gestionnaire KM est programmée dans les FPF (Field Programmable) du chipset. Le but principal du KM est de stocker le hachage d’une clé publique RSA du BPM qui à son tour contient les informations sur le Boot Stratégie, description du bloc de démarrage initial (IBB) et son hachage. »

« Les parties privées divulguées des clés mentionnées permettent à un attaquant potentiel de signer le micrologiciel modifié pour cet appareil, de sorte qu’il passerait la vérification d’Intel Boot Guard, ce qui rendrait cette technologie complètement inefficace. »

Bien que ces clés ne soient probablement pas utiles à la plupart des acteurs de la menace, certains attaquants qualifiés ont déjà utilisé des micrologiciels malveillants dans des attaques, telles que les logiciels malveillants CosmicStrand et BlackLotus UEFI.

« Maintenant, la fonctionnalité peut être compromise et les attaquants peuvent créer des mises à jour de micrologiciels malveillants sur les appareils concernés sans se soucier d’Intel Boot Guard », a déclaré Matrosov dans un dernier avertissement partagé avec BleepingComputer.

Binarly a publié une liste du matériel MSI impacté, comprenant 116 appareils MSI qui auraient été compromis par les clés Intel Boot Guard divulguées.

Breachtarce a également contacté MSI et Intel avec d’autres questions, mais aucune réponse n’était disponible dans l’immédiat.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *