Napadalci ukradli podpisne ključe MSI, prizadet tudi Intel Boot Guard

Marca letos so člani hekerske skupine Money Message napadli proizvajalca strojne opreme MSI. Po lastnih navedbah so odtujili 1,5 TB podatkov, med katerimi so tudi izvorna koda in podpisni ključi. Od podjetja so zahtevali štiri milijone dolarjev odkupnine, a ker je niso prejeli, so začeli javno objavljati ukradene podatke. MSI javno ni komentiral dogajanja, a to ni omililo posledic.

Med pobeglimi datotekami je tudi izvorna koda firmwara, ki teče na MSI-jevih matičnih ploščah, ter podpisni ključi za 57 njihovih izdelkov ter podpisni ključi za Intel Boot Guard na 116 izdelkih MSI. Intel Boo Guard je varnostna funkcija, ki v modernih sistemih z Intelovimi procesorji preprečuje zaganjanje zlonamerne programske opreme (npr. UEFI bootkit), ki ni podpisana. Njena uporaba je na primer potrebna za Windows UEFI Secure Boot. S pobeglimi ključi, katerih izdajanje je v pristojnosti proizvajalca strojne opreme in ne Intela, se efektivnost tega sistema izniči. Napadalci lahko zlonamerno kodo podpišejo, kakor da jo je izdal proizvajalec. Med pobeglimi ključi so tudi ključi za Manifest (KM) in Boot Policy Manifest (BPM).

MSI se na vprašanja ne odziva. Strokovnjaki opozarjajo, da je težava odsotnost sistema za avtomatični preklic ključev, ki ga imajo večji proizvajalci (Dell, HP ...). MSI je takoj ob odkritju vdora uporabnike pozval k nadgradnji, a tedaj ni niti z besedo omenil ključev. To odpira možnost za napade neposredno prek naprav (supply chain attack), ko je možno okužiti naprave tekom dobavne verige.