Arquivos roubados durante o substancial hack do MSI no mês passado começaram a proliferar na dark web. Uma das coisas mais preocupantes detectadas no saque digital é uma chave privada Intel OEM. A MSI teria usado isso para assinar suas atualizações de firmware/BIOS para passar nas verificações do Intel Boot Guard. Agora, os hackers podem usar a chave para assinar BIOS, firmware e aplicativos maliciosos, que se parecerão inteiramente com os lançamentos oficiais da MSI.
Após ser hackeada no mês passado, a MSI começou a exortar os clientes para obter atualizações de firmware/BIOS exclusivamente de seu site oficial. A conhecida empresa de PCs, componentes e periféricos estava sendo extorquida por um grupo de ransomware chamado Money Message. Aparentemente, os extorsionários roubaram 1,5 TB de dados, incluindo vários arquivos de código-fonte, chaves privadas e ferramentas para desenvolver firmware. Os relatórios disseram que a Money Message estava pedindo mais de quatro milhões de dólares para devolver a totalidade dos dados ao MSI. Mais de um mês se passou e parece que a MSI não pagou. Portanto, agora estamos vendo as consequências.
O Intel Boot Guard garante que os PCs só possam executar aplicativos verificados antes da inicialização. Em um papel branco sobre ‘abaixo da segurança do sistema operacional (PDF), a Intel fala com algum orgulho sobre suas tecnologias BIOS Guard, Boot Guard e Firmware Guard. O Boot Guard é um “elemento chave da integridade de inicialização baseada em hardware que atende aos requisitos do Microsoft Windows para UEFI Secure Boot”. Infelizmente, não será mais um ‘guarda’ útil para uma ampla gama de sistemas MSI.
Tweets publicados por Binarmente (uma plataforma de segurança da cadeia de suprimentos) e seu fundador, Alex Matrosov, explicam claramente os perigos apresentados por esse vazamento de chaves do Boot Guard e outros dados no MSI. O especialista em segurança sugere que outros fornecedores de dispositivos serão afetados pelo vazamento da MSI, incluindo Intel, Lenovo, Supermicro e muitos outros. Uma página do GitHub vinculada por Binarly lista os 57 sistemas MSI PC que tiveram chaves de firmware vazadas e os 166 sistemas que tiveram chaves BPM/KM do Intel Boot Guard vazadas.
Se você olhar as listas de máquinas afetadas, verá todas as séries familiares da MSI, como Sword, Stealth, Creator, Prestige, Modern, Cyborg, Raider, Titan. Os proprietários desses sistemas com CPUs Intel Core 11th Gen Tiger Lake ou mais recentes terão que aderir estritamente às atualizações somente do site MSI.
Além das preocupações do Boot Guard, é possível que os hackers tentem enganar os usuários para que acessem um site MSI falso ou baixem aplicativos MSI falsos. Esses aplicativos agora podem ser assinados e parecerão genuinamente da MSI, portanto, podem ser executados sem acionar seu AV.
Esse vazamento certamente causou confusão e não está claro se as chaves vazadas podem ser revogadas ou quais serão os próximos passos das partes envolvidas. Até o momento, não vimos nenhuma reação oficial da MSI ou da Intel em relação aos arquivos que agora estão se tornando públicos. Evite verificar os arquivos roubados na dark web ou em outras fontes, pois agora eles podem estar infectados com malware.