В darknet опубликованы Boot Guard Keys, похищенные в результате взлома MSI

Опубликованы ключи Boot Guard, похищенные во время взлома MSI, ставящие под угрозу компьютеры. (Обновление: Intel отвечает)

Похоже, что MSI не заплатила выкуп, поэтому ее файлы распространяются в даркнете.

Файлы, похищенные во время масштабного взлома MSI в апреле 2023 года, начали распространяться по даркнету. Одной из наиболее тревожных вещей, обнаруженных среди цифровой добычи, является закрытый ключ Intel OEM. MSI использовала их для подписи обновлений своего микропрограммного обеспечения / BIOS для прохождения проверок Intel Boot Guard. Теперь хакеры могут использовать ключ для подписи вредоносных BIOS, прошивок и приложений, которые будут выглядеть полностью как официальные релизы MSI.

Обновление (8.05.2023): Intel опубликовала заявление, в котором ничего не говорится о том, что ключи генерируются OEM (MSI), а не самой Intel:

После взлома в прошлом месяце компания MSI начала призывать клиентов получать обновления прошивки/BIOS исключительно с ее официального веб-сайта. MSI подверглась вымогательству со стороны группы вымогателей под названием Money Message. По всей видимости, вымогатели похитили 1,5 ТБ данных, включая различные файлы исходного кода, секретные ключи и инструменты для разработки встроенного ПО. В отчетах говорилось, что Money Message запрашивали более четырех миллионов долларов, чтобы вернуть все данные обратно в MSI. Прошло больше месяца, и, похоже, MSI так и не расплатилась. Таким образом, сейчас мы наблюдаем последствия.

Intel Boot Guard гарантирует, что ПК смогут запускать только проверенные приложения перед загрузкой. В официальном документе о безопасности ниже уровня операционной системы (PDF) Intel с некоторой гордостью рассказывает о своих технологиях BIOS Guard, Boot Guard и Firmware Guard. Boot Guard - это "ключевой элемент аппаратной целостности загрузки, который соответствует требованиям Microsoft Windows для безопасной загрузки UEFI". К сожалению, он больше не будет полезным "защитником" для широкого спектра систем MSI.

Intel Boot Guard, часть Intel Hardware Shield (изображение предоставлено Intel)

В твитах, опубликованных Binarly (платформой безопасности цепочки поставок) и ее основателем Алексом Матросовым, четко излагаются опасности, связанные с утечкой ключей Boot Guard и других данных в MSI haul. На странице GitHub, на которую ссылается Binarly, перечислены 57 систем MSI PC, в которых произошла утечка ключей встроенного ПО, и 166 систем, в которых произошла утечка ключей Intel Boot Guard BPM/KM.

Если вы потрудитесь просмотреть списки затронутых машин, вы увидите все знакомые серии MSI, такие как Sword, Stealth, Creator, Prestige, Modern, Cyborg, Raider, Titan. Владельцам этих систем с процессорами Intel Core 11-го поколения Tiger Lake или новее придется строго придерживаться обновлений только с сайта MSI.

В дополнение к опасениям Boot Guard, возможно, что хакеры попытаются заманить пользователей на поддельный сайт MSI или загрузить поддельные приложения MSI. Теперь эти приложения можно подписать, и будет казаться, что они действительно принадлежат MSI, поэтому могут запускаться как доверенные приложения.

Эта утечка, безусловно, привела к беспорядку, и неясно, могут ли утекшие ключи быть отозваны или каковы будут следующие шаги вовлеченных сторон. На момент написания статьи мы не видели никакой официальной реакции от MSI или Intel относительно файлов, которые сейчас становятся достоянием общественности.

09.05.2023
https://www.tomshardware.com/news/msi-bootguard-keys-leaked-to-internet
перевод яндекса​

 

Intel расследует утечку секретных ключей Intel Boot Guard после взлома MSI

Intel расследует утечку предполагаемых секретных ключей, используемых функцией безопасности Intel Boot Guard, что потенциально может повлиять на ее способность блокировать установку вредоносного микропрограммного обеспечения UEFI на устройствах MSI.

В марте банда, занимающаяся вымогательством денежных сообщений, атаковала компьютерное оборудование makeMSI, утверждая, что во время атаки было украдено 1,5 ТБ данных, включая встроенное ПО, исходный код и базы данных.

Как впервые сообщил BleepingComputer, банда вымогателей потребовала выкуп в размере 4 000 000 долларов и, не получив его, начала сливать данные для MSI на свой сайт утечки данных.

На прошлой неделе злоумышленники начали сливать украденные данные MSI, включая исходный код встроенного ПО, используемого материнскими платами компании.


В пятницу Алекс Матросов, генеральный директор платформы безопасности цепочки поставок микропрограммного обеспечения Binarly, предупредил, что утечка исходного кода содержит закрытые ключи подписи изображений для 57 продуктов MSI и закрытые ключи Intel Boot Guard для 116 продуктов MSI.

"Intel осведомлена об этих сообщениях и активно проводит расследование. Исследователи утверждают, что в данные включены закрытые ключи подписи, включая OEM-ключи подписи MSI для Intel ® BootGuard", - сообщили в Intel BleepingComputer в ответ на наши вопросы об утечке.

"Следует отметить, что OEM-ключи Intel BootGuard генерируются производителем системы, и это не ключи подписи Intel".

Матросов сказал, что эта утечка, возможно, привела к тому, что Intel Boot Guard перестала работать на устройствах MSI, использующих процессоры "11th Tiger Lake, 12th Adler Lake и 13th Raptor Lake".

"У нас есть доказательства того, что утечка данных MSI повлияла на всю экосистему Intel. Это прямая угроза для клиентов MSI и, к сожалению, не только для них", - сказал Матросов в интервью BleepingComputer в пятницу днем. "Ключи подписи для fw image позволяют злоумышленнику создавать вредоносные обновления встроенного ПО, и они могут быть доставлены с помощью обычного процесса обновления bios с помощью MSI update tools. Утечка ключей Intel Boot Guard влияет на всю экосистему (не только MSI) и делает эту функцию безопасности бесполезной".

Intel Boot Guard - это функция безопасности, встроенная в современное оборудование Intel и предназначенная для предотвращения загрузки вредоносного микропрограммного обеспечения, известного как UEFI bootkits. Это важнейшая функция, используемая для удовлетворения требований безопасной загрузки Windows UEFI.

Это связано с тем, что вредоносное микропрограммное обеспечение загружается раньше операционной системы, позволяя ему скрывать свои действия от ядра и программного обеспечения безопасности, сохраняется даже после переустановки операционной системы и помогает устанавливать вредоносное ПО на скомпрометированные устройства.

Для защиты от вредоносного встроенного по Intel Boot Guard проверит, подписан ли образ встроенного ПО с использованием законного закрытого ключа подписи с использованием встроенного открытого ключа, встроенного в аппаратное обеспечение Intel.

Если прошивку можно подтвердить как законно подписанную, Intel Boot Guard разрешит ее загрузку на устройство. Однако в случае сбоя подписи загрузка встроенного ПО будет запрещена.


Самая большая проблема с этой утечкой заключается в том, что открытые ключи, используемые для проверки прошивки, подписанной с использованием просочившихся ключей, как полагают, встроены в аппаратное обеспечение Intel. Если они не могут быть изменены, функция безопасности больше не заслуживает доверия на устройствах, использующих эти утекшие ключи.

"Закрытые ключи манифеста (KM) и манифеста политики загрузки (BPM) были обнаружены в просочившемся исходном коде MSI. Эти ключи используются для технологии Boot Guard, которая обеспечивает проверку образа встроенного ПО с помощью аппаратного корня доверия", - предупреждает Бинарли в сообщении, опубликованном в Twitter.

"Хэшированный OEM-корневой открытый ключ RSA от KM manager запрограммирован в программируемом поле набора микросхем (FPFs). Основная цель KM - сохранить хэш открытого ключа RSA из BPM, который, в свою очередь, содержит информацию о политике загрузки, описание начального загрузочного блока (IBB) и его хэш."

"Утечка приватных частей упомянутых ключей позволяет потенциальному злоумышленнику подписать модифицированную прошивку для этого устройства, так что оно пройдет проверку Intel Boot Guard, что сделает эту технологию полностью неэффективной".

Хотя эти ключи вряд ли будут полезны большинству участников угроз, некоторые опытные злоумышленники ранее использовали в атаках вредоносное программное обеспечение, такое как CosmicStrand и BlackLotus UEFI malware.

"Теперь функция может быть скомпрометирована, и злоумышленники могут создавать вредоносные обновления встроенного ПО на уязвимых устройствах, не беспокоясь о Intel Boot Guard", - сказал Матросов в последнем предупреждении, которым поделился с BleepingComputer

Компания Binarly опубликовала список уязвимого оборудования MSI, включающий 116 устройств MSI, которые, как сообщается, были скомпрометированы утечкой ключей Intel Boot Guard.

BleepingComputer также связался с MSI и Intel с дополнительными вопросами, но ответ был получен не сразу.

08.05.2023
https://www.bleepingcomputer.com/ne...tel-boot-guard-private-keys-after-msi-breach/​