Intel и Supermicro начали расследование утечки конфиденциальных данных компании MSI, в ходе которой в открытом доступе были опубликованы ключи для защищённой загрузки при помощи технологии Intel Boot Guard.
Intel сообщила СМИ, что скопированные хакерами данные включают приватные ключи, в том числе ключи подписи MSI OEM для Intel BootGuard. В компании пояснили, что OEM-ключи Intel BootGuard генерируются производителем системы и не являются ключами подписи Intel.
Опция Intel Boot Guard предназначена для предотвращения загрузки вредоносных прошивок (UEFI-буткитов). Её наличие — одно из главных требований системы защиты Windows UEFI Secure Boot. Intel Boot Guard проверяет, подписан ли образ прошивки с помощью легитимного приватного ключа подписи, используя для этого публичный ключ, встроенный в оборудование Intel от разных производителей.
В компании Supermicro изучили инцидент и предварительно оценили возможные риски, связанные с этой утечкой, как незначительные. В компании пояснили, что её продукты не затронуты утечкой ключей Intel, но посоветовали следить за обновлениями прошивок устройств.
В начале мая эксперты проанализировали утечку закрытых ключей Intel и выяснили, что хакеры скомпрометировали цифровые подписи для заверения прошивок 57 продуктов MSI, а также ключи для обеспечения защищённой загрузки при помощи технологии Intel Boot Guard на 166 продуктах MSI и ещё Lenovo, SuperMicro и других производителей.
Доступ к ключам заверения прошивок даёт злоумышленникам возможность сформировать корректные цифровые подписи для фиктивной или изменённой прошивки, в которую встроены неавторизованные производителем закладки. Ключи Boot Guard позволяют обойти механизм запуска только проверенных компонентов на стадии начальной загрузки. Хакеры могут использовать утечку ключей, например, для компрометации механизма верифицированной загрузки UEFI Secure Boot.
Инцидент с публикацией в открытом доступе закрытых ключей Intel для MSI затронул серии ноутбуков Stealth, Creator, Crosshair, Prestige, Pulse, Modern, Raider, Sword, Summit, Vector и Katana.
Закрытые ключи Intel из утечки и затронутые продукты MSI, которые используют эти ключи
Профильные эксперты считают, что утечка закрытых ключей Intel может использоваться злоумышленниками для атак на другие механизмы верификации, включая решения на базе Intel CSME (Converged Security and Management Engine), а также OEM unlock, ISH (Integrated Sensor Hub) firmware и SMIP (Signed Master Image Profile).
Представители отрасли пояснили, что масштабы этой утечки данных всё ещё неясны, так как хакеры продолжают публиковать код из утечки. По мнению экспертов, Intel почти наверняка придётся пересмотреть механизм выдачи ключей и выдать новые ключи всем пострадавшим от атаки партнёрам. Что это означает для конечных пользователей, пока неизвестно. Intel не опубликовала заявление об утечке, а MSI ранее признала утечку части данных компании.
7 апреля 2023 года MSI предупредила партнёров, клиентов и пользователей о кибератаке на IT-системы компании. Хакеры из группировки Money Message заявили, что украли у MSI 1,5 ТБ данных, включая исходные коды основных продуктов и корпоративные базы данных. Они требуют выкуп в размере $4 млн.
Также MSI настоятельно попросила своих клиентов не скачивать и не загружать на свои устройства ПО и инструменты от MSI (BIOS/UEFI/прошивки или драйверы) из любых сторонних источников, кроме официального веб-сайта MSI.
Хакеры Money Message опубликовали скриншоты из баз данных корпоративных CTMS и ERP-систем MSI, а также скриншоты с файлами, содержащими исходный код проприетарного ПО компании, включая закрытые ключи, фреймворк для разработчиков прошивок для BIOS. Злоумышленники предупредили, что у них есть закрытые ключи, позволяющие скомпрометировать BIOS любого устройства MSI.
ссылка на оригинал статьи https://habr.com/ru/articles/734350/
Добавить комментарий