Una brecha reciente en los servidores de MSI expuso las claves BootGuard de Intel y ahora ha puesto en riesgo la seguridad de varios dispositivos.
Una brecha importante de MSI afecta la seguridad de varios dispositivos Intel
El mes pasado, un grupo de piratas informáticos llamado Money Message reveló que habían violado los servidores de MSI y robado 1,5 TB de datos de los servidores de la empresa, incluido el código fuente entre una lista de varios archivos que son importantes para la integridad de la empresa. El grupo le pidió a MSI que pagara un rescate de 4,0 millones de dólares para evitar que hicieran públicos los archivos, pero MSI rechazó el pago.
Esta acción impulsó al grupo a liberar los archivos en servidores públicos este jueves y con base en una investigación realizada por BINARIOlos archivos incluyen claves Intel BootGuard de MSI que no solo afectan a MSI en sí, sino también a otros proveedores importantes, incluidos Intel, Lenovo, Supermicron y muchos otros.
⛓️ Profundizando en las secuelas de la @msiUSA violación de datos y su impacto en la industria.
🔥Las claves Intel BootGuard filtradas de MSI están afectando a muchos proveedores de dispositivos diferentes, incluidos @Intel , @Lenovo, @Supermicro_SMCIy muchos otros en toda la industria.
🔬#FwHunt ¡Está encendido! https://t.co/NuPIUJQUgr pic.twitter.com/ZB8XKj33Hv
— BINARLY🔬 (@binarly_io) 5 de mayo de 2023
Los archivos filtrados contienen claves de firma para un total de más de 200 productos MSI que se pueden usar para acceder al firmware de estos dispositivos. Estos incluyen un total de 57 dispositivos cuyas claves de firma de imagen de firmware se han filtrado y 116 dispositivos cuyas claves Intel BootGuard se han filtrado.
La razón por la que estas claves son tan importantes es porque se utilizan para marcar cierto software que no está verificado como no confiable y «potencialmente malicioso», dice PCMAG. Estas claves se pueden usar para etiquetar software malicioso con malware como confiable y entregado al sistema que termina comprometiendo su seguridad.
“Las claves de firma para fw [firmware] image permite a un atacante crear actualizaciones de firmware maliciosas y se puede entregar a través de procesos normales de actualización de BIOS con herramientas de actualización de MSI”, dice el CEO de Binarly, Alex Matrosov, a PCMag.
MSI respondió a sus clientes que evitaran descargar el firmware UEFI/BIOS de cualquier lugar, excepto de sus propios sitios web oficiales, donde la versión adecuada estará disponible sin temor a verse comprometida. Además, dado que estos archivos se han hecho públicos en los últimos días, es muy probable que una cantidad de firmware UEFI/BIOS ya esté flotando en varias secciones de la web con código malicioso.
Parece que esta fuga afecta no solo a la tecnología Intel Boot Guard, sino también a todos los mecanismos basados en firmas OEM en CSME, como el desbloqueo OEM (Orange Unlock), el firmware ISH, SMIP y otros… https://t.co/Eptmbo6cci
—Mark Ermolov (@_markel___) 5 de mayo de 2023
De acuerdo a alex matrosov, el CEO de BINARLY, se confirma que la filtración incluye claves privadas de Intel para dispositivos OEM. Además, es posible que BootGuard no sea tan eficaz en dispositivos basados en plataformas Tiger Lake de 11.ª generación, Alder Lake de 12.ª generación y Raptor Lake de 13.ª generación. La fuga también afecta a todos los mecanismos basados en la firma de OEM dentro de CSME (Motor de administración y seguridad convergente), según lo declarado por Alex. Intel y sus socios que se ven afectados por esta filtración deben comentar cómo planean abordar esta importante falla de seguridad que se produjo a través de esta violación.
Fuente de noticias: VideoCardz