Los ciberdelincuentes podrían tener más facilidad para atacar las computadoras portátiles MSI después de que una banda de ransomware filtró claves de firma de código privado para los productos de la compañía.
La fuente de la filtración se remonta a un grupo conocido como Money Message, que anunció el mes pasado que se había infiltrado en MSI y había robado archivos confidenciales de la empresa, incluido el supuesto código fuente. Money Message afirma que MSI se negó a pagar para mantener la información en secreto, por lo que el jueves publicó los datos robados en su sitio web en la web oscura.
El sitio del grupo de ransomware que aloja los archivos filtrados.
Empresa de ciberseguridad Binarly analizado(Se abre en una nueva ventana) los archivos filtrados y confirmó que contienen claves de firma de código privado para el firmware de MSI en 57 productos. (Página GitHub de Binary(Se abre en una nueva ventana) menciona los nombres de todos los modelos afectados.)
Estas claves son importantes porque MSI las usa para certificar que una actualización de firmware proviene de la empresa. De lo contrario, una computadora puede marcar el software como no confiable y potencialmente malicioso.
Ahora, estas claves filtradas podrían terminar en las manos equivocadas y ser objeto de abuso para firmar malware disfrazado de software relacionado con MSI. “Las claves de firma para fw [firmware] image permite a un atacante crear actualizaciones de firmware maliciosas y se puede entregar a través de procesos normales de actualización de BIOS con herramientas de actualización de MSI”, dice el CEO de Binarly, Alex Matrosov, a PCMag.
Es posible que se entregue una actualización de firmware maliciosa a través de sitios web falsos o mensajes de correo electrónico disfrazados de MSI. Pero Matrosov dice que el principal vector de ataque implica que las claves privadas se utilizan «como una carga útil de segunda etapa» después de que se produce el compromiso inicial a través de un navegador o un ataque de phishing basado en documentos. La mayoría de los sistemas antivirus permanecerían en silencio porque el malware habría sido firmado digitalmente como perteneciente a MSI y reconocido como una actualización de firmware legítima.
El otro problema es que la fuga también contiene las claves de firma privadas para Intel Boot Guard.(Se abre en una nueva ventana), que puede verificar que se está ejecutando el código de computadora correcto cuando una PC se inicia por primera vez. Binarly encontró claves privadas para Intel Boot Guard en 116 productos MSI. Pero la compañía también señaló que Intel Boot Guard se usa en toda la industria tecnológica.
Recomendado por Nuestros Editores
«Se filtran las claves de Intel BootGuard [is] impactando todo el ecosistema (no solo MSI) y haciendo que esta característica de seguridad sea inútil”, agregó Matrosov.
MSI e Intel no respondieron de inmediato a una solicitud de comentarios, por lo que no está claro si pueden revocar las claves de firma privadas de alguna manera. Por ahora, MSI simplemente ha advertido(Se abre en una nueva ventana) que los clientes solo deben instalar actualizaciones de firmware y BIOS de los sitios web oficiales de la empresa, no de fuentes de terceros.
Aún así, a Matrosov le preocupa que MSI tenga opciones limitadas para solucionar el problema. “Creo que para MSI será una situación complicada ya que para entregar nuevas claves de firma todavía necesitan usar las filtradas”, dijo. “No creo que tengan ningún mecanismo de revocación”.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.