A Intel está investigando o vazamento de supostas chaves privadas usadas pelo recurso de segurança Intel Boot Guard. O vazamento em questão afeta potencialmente capacidade de bloqueio da instalação de firmware UEFI malicioso em dispositivos MSI.
Vazamento de chaves privadas do Intel Boot Guard
Em março, a gangue de extorsão Money Message atacou o hardware de computador da MSI, alegando ter roubado 1,5 TB de dados durante o ataque, incluindo firmware, código-fonte e bancos de dados. Conforme relatado pela primeira vez pelo BleepingComputer, a gangue de ransomware exigiu um resgate de $ 4.000.000 (cerca de R$ 19.9 mi) e, depois de não ser pago, começou a vazar os dados do MSI em seu site de vazamento de dados.
Na semana passada, os agentes de ameaças começaram a vazar os dados roubados da MSI, incluindo o código-fonte do firmware usado pelas placas-mãe da empresa. O que é péssimo, sobretudo do ponto de vista da segurança.
Intel Boot Guard afetado por ataque
Na sexta-feira, Alex Matrosov, CEO da plataforma de segurança da cadeia de suprimentos de firmware Binarly, alertou que o código-fonte vazado contém as chaves privadas de assinatura de imagem para 57 produtos MSI e chaves privadas Intel Boot Guard para 116 produtos MSI.
Matrosov disse que esse vazamento pode ter feito com que o Intel Boot Guard não fosse eficaz em dispositivos MSI usando CPUs “11th Tiger Lake, 12th Adler Lake e 13th Raptor Lake”. Segundo ele, o vazamento de chaves do Intel Boot Guard afeta todo o ecossistema (não apenas o MSI) e torna esse recurso de segurança inútil.
O Intel Boot Guard é um recurso de segurança incorporado ao hardware moderno da Intel, projetado para impedir o carregamento de firmware malicioso, conhecido como UEFI bootkits. É um recurso crítico usado para atender aos requisitos do Windows UEFI Secure Boot.
Isso ocorre porque o firmware malicioso é carregado antes do sistema operacional, permitindo que ele oculte suas atividades do kernel e do software de segurança, persista mesmo após a reinstalação de um sistema operacional e ajude a instalar malware em dispositivos comprometidos.
Para proteger contra firmware mal-intencionado, o Intel Boot Guard verificará se uma imagem de firmware é assinada usando uma chave de assinatura privada legítima usando uma chave pública incorporada ao hardware Intel. Se o firmware puder ser verificado como legitimamente assinado, o Intel Boot Guard permitirá que ele seja carregado no dispositivo. No entanto, se a assinatura falhar, o firmware não poderá carregar.
O maior problema com esse vazamento é que acredita-se que as chaves públicas usadas para verificar o firmware assinado usando as chaves vazadas estejam incorporadas ao hardware da Intel. Se eles não puderem ser modificados, o recurso de segurança não é mais confiável em dispositivos que usam essas chaves vazadas.
Embora essas chaves provavelmente não sejam úteis para a maioria dos agentes de ameaças, alguns invasores habilidosos já usaram firmware malicioso em ataques, como o malware CosmicStrand e BlackLotus UEFI.
“Agora, o recurso pode ser comprometido e os invasores podem criar atualizações de firmware maliciosas em dispositivos afetados sem se preocupar com o Intel Boot Guard”, disse Matrosov em um aviso final compartilhado com o BleepingComputer.