Los archivos robados durante el pirateo sustancial de MSI el mes pasado han comenzado a proliferar en la web oscura. Una de las cosas más preocupantes detectadas entre el botín digital es una clave privada OEM de Intel. MSI habría utilizado esto para firmar sus actualizaciones de firmware/BIOS para pasar las comprobaciones de verificación de Intel Boot Guard. Ahora los piratas informáticos pueden usar la clave para firmar BIOS, firmware y aplicaciones maliciosas, que se parecerán completamente a las versiones oficiales de MSI.
A raíz de ser pirateado el mes pasado, MSI comenzó a instar a los clientes a obtener actualizaciones de firmware/BIOS exclusivamente desde su sitio web oficial. La conocida empresa de PC, componentes y periféricos estaba siendo extorsionada por un grupo de ransomware llamado Money Message. Aparentemente, los extorsionadores robaron 1,5 TB de datos, incluidos varios archivos de código fuente, claves privadas y herramientas para desarrollar firmware. Los informes decían que Money Message estaba pidiendo más de cuatro millones de dólares para devolver la totalidad de los datos a MSI. Ha pasado más de un mes y parece que MSI no ha pagado. Por lo tanto, ahora estamos viendo las consecuencias.
Intel Boot Guard garantiza que las PC solo puedan ejecutar aplicaciones verificadas antes del arranque. En un documento técnico sobre la seguridad por debajo del sistema operativo (PDF), Intel habla con cierto orgullo sobre sus tecnologías BIOS Guard, Boot Guard y Firmware Guard. Boot Guard es un «elemento clave de la integridad de arranque basada en hardware que cumple con los requisitos de Microsoft Windows para UEFI Secure Boot». Lamentablemente, ya no será un «protector» útil para una amplia gama de sistemas MSI.
tuits publicados por binario (una plataforma de seguridad de la cadena de suministro) y su fundador Alex Matrosov, explican claramente los peligros que presenta esta fuga de claves de Boot Guard y otros datos en el recorrido de MSI. El especialista en seguridad sugiere que otros proveedores de dispositivos se verán afectados por la filtración de MSI, incluidos Intel, Lenovo, Supermicro y muchos otros. Una página de GitHub vinculada por Binarly enumera los 57 sistemas de PC MSI a los que se les han filtrado claves de firmware y los 166 sistemas a los que se les han filtrado claves Intel Boot Guard BPM/KM.
Si desea revisar las listas de máquinas afectadas, verá todas las series familiares de MSI, como Sword, Stealth, Creator, Prestige, Modern, Cyborg, Raider, Titan. Los propietarios de estos sistemas con CPU Intel Core 11th Gen Tiger Lake o más nuevos tendrán que adherirse estrictamente a las actualizaciones exclusivas del sitio de MSI.
Además de las preocupaciones de Boot Guard, es posible que los piratas informáticos intenten engañar a los usuarios para que se dirijan a un sitio MSI falso o descarguen aplicaciones MSI falsas. Estas aplicaciones ahora se pueden firmar y parecerán ser genuinamente de MSI, por lo que podrían ejecutarse sin activar su AV.
Esta filtración ciertamente ha causado un lío, y no está claro si las claves filtradas se pueden revocar o cuáles serán los próximos pasos de las partes involucradas. En el momento de escribir este artículo, no hemos visto ninguna reacción oficial de MSI o Intel con respecto a los archivos que ahora se están haciendo públicos. Evite verificar los archivos robados en la web oscura u otras fuentes, ya que ahora podrían estar mezclados con malware.