Intel está investigando la filtración de supuestas claves privadas utilizadas por la función de seguridad Intel Boot Guard, lo que podría afectar su capacidad para bloquear la instalación de firmware UEFI malicioso en dispositivos MSI.
Intel Boot Guard es una característica de seguridad integrada en el hardware Intel moderno diseñado para evitar la carga de firmware malicioso, conocido como bootkits UEFI. Es una característica fundamental que se utiliza para cumplir con los requisitos de arranque seguro de UEFI de Windows.
En marzo, la pandilla de extorsión de Money Message atacó el hardware de la computadora MSI, afirmando haber robado 1.5 TB de datos durante el ataque, incluido el firmware, el código fuente y las bases de datos.
Como informó por primera vez BleepingComputer, la pandilla de ransomware exigió un rescate de $4.000.000 y, después de no recibir el pago, comenzó a filtrar los datos de MSI en su sitio de fuga de datos.
La semana pasada, los actores de la amenaza comenzaron a filtrar los datos robados de MSI, incluido el código fuente del firmware utilizado por las placas base de la empresa.
Intel Boot Guard afectado por un ataque
El viernes, Alex Matrosov, director ejecutivo de la plataforma de seguridad de la cadena de suministro de firmware Binarly, advirtió que el código fuente filtrado contiene la imagen que firma claves privadas para 57 productos MSI y claves privadas Intel Boot Guard para 116 productos MSI.
«Intel está al tanto de estos informes y está investigando activamente. Ha habido investigadores que afirman que las claves de firma privadas están incluidas en los datos, incluidas las claves de firma OEM de MSI para Intel® BootGuard. Cabe señalar que las claves OEM de Intel BootGuard son generadas por el fabricante del sistema y no son claves de firma de Intel».
Matrosov dijo que esta fuga puede haber causado que «Intel Boot Guard no sea efectivo en los dispositivos MSI que usan CPU «11th Tiger Lake, 12th Adler Lake y 13th Raptor Lake».
«Tenemos evidencia de que todo el ecosistema de Intel se ve afectado por esta violación de datos de MSI. Es una amenaza directa para los clientes de MSI y, lamentablemente, no solo para ellos», dijo Matrosov a BleepingComputer el viernes por la tarde.
«Las claves de firma permiten a un atacante crear actualizaciones de firmware maliciosas y se pueden entregar a través de un proceso normal de actualización de BIOS con las herramientas de actualización de MSI. La fuga de claves de Intel Boot Guard afecta a todo el ecosistema (no solo a MSI) y hace que esta característica de seguridad sea inútil».
Esto se debe a que el firmware malicioso se carga antes que el sistema operativo, lo que le permite ocultar sus actividades del kernel y el software de seguridad, persistir incluso después de reinstalar un sistema operativo y ayudar a instalar malware en dispositivos comprometidos.
Para protegerse contra el firmware malicioso, Intel Boot Guard verificará si una imagen de firmware está firmada con una clave de firma privada legítima con una clave pública integrada integrada en el hardware de Intel. Si se puede verificar que el firmware está firmado legítimamente, Intel Boot Guard permitirá que se cargue en el dispositivo. Sin embargo, si la firma falla, el firmware no podrá cargarse.
El mayor problema con esta filtración es que se cree que las claves públicas utilizadas para verificar el firmware firmado con las claves filtradas están integradas en el hardware de Intel. Si no se pueden modificar, la función de seguridad ya no es confiable en los dispositivos que usan esas claves filtradas.
«Las claves privadas Manifest (KM) y Boot Policy Manifest (BPM) se encontraron en el código fuente MSI filtrado. Estas claves se utilizan para la tecnología Boot Guard que proporciona verificación de imagen de firmware con una raíz de confianza de hardware», advierte Binarly.
Las claves privadas filtradas permiten que un atacante potencial firme el firmware modificado para este dispositivo, por lo que pasaría la verificación de Intel Boot Guard, lo que haría que esta tecnología fuera completamente ineficaz. Si bien es probable que estas claves no sean útiles para la mayoría de los actores de amenazas, algunos atacantes expertos han usado previamente firmware malicioso en ataques, como el malware UEFI CosmicStrand y BlackLotus.
Binarly ha publicado una lista de hardware MSI afectado, que comprende 116 dispositivos MSI supuestamente comprometidos por las claves Intel Boot Guard filtradas.
Fuente y redacción: segu-info.com.ar
