Intel Boot Guard compromesso dopo l'attacco a MSI? La società indaga

Intel Boot Guard compromesso dopo l'attacco a MSI? La società indaga

La tecnologia Boot Guard di Intel, che protegge l'avvio dei PC prima del caricamento del sistema operativo e dei software di sicurezza, potrebbe essere compromessa. Gli hacker dell'attacco a MSI avrebbero infatti tra le mani chiavi private necessarie per far passare come legittimo codice malevolo.

di pubblicata il , alle 08:31 nel canale Sicurezza
IntelMSI
 

L'attacco a MSI da parte della banda ransomware "Money Message" potrebbe avere serie ripercussioni. Sembra infatti che nel bottino vi siano anche le chiavi private usate da Intel Boot Guard, tecnologia di sicurezza che salvaguarda l'avvio dei PC e la cui compromissione potrebbe permettere a malintenzionati di installare firmware dannosi sui dispositivi della casa taiwanese e forse non solo.

La gang sarebbe riuscita a sottrarre a MSI ben 1,5 terabyte di dati tra cui firmware, codice sorgente e database, avanzando una richiesta di riscatto di 4 milioni di dollari. Il mancato pagamento ha indotto i malintenzionati a iniziare la pubblicazione dei dati ottenuti, tra cui il codice sorgente del firmware delle motherboard di MSI.

Venerdì scorso, Alex Matrosov, CEO di Binarly, ha scoperto che il codice sorgente trapelato conteneva anche l'immagine che firma le chiavi private per 57 prodotti MSI e le chiavi private Intel Boot Guard per 116 prodotti MSI, rendendo inefficace la funzionalità di sicurezza su dispositivi con CPU Core di 11a, 12a e 13a generazione. "Abbiamo prove che l'intero ecosistema Intel è influenzato da questa violazione dei dati MSI. È una minaccia diretta per i clienti MSI e sfortunatamente non solo per loro", ha detto Matrosov.

"Le chiavi di firma per l'immagine del firmware consentono a un malintenzionato di creare aggiornamenti firmware dannosi e possono essere forniti tramite un normale processo di aggiornamento del BIOS con strumenti di aggiornamento MSI. Il leak delle chiavi Intel Boot Guard ha un impatto sull'intero ecosistema (non solo MSI) e rende inutile questa funzionalità di sicurezza".

Intel Boot Guard impedisce il caricamento di firmware maligni, anche noti come UEFI bootkit, che possono essere impianti nel PC e caricati prima del sistema operativo, sfuggendo ai controlli dello stesso - che viene caricato dopo - e rendendo inefficaci i tentativi di cancellazione (il cosiddetto formattone).

Boot Guard verifica se l'immagine di un firmware è firmata con chiavi private legittime: se il firmware passa l'esame, il processo prosegue. Il problema, in questo caso, è che la pubblicazione delle chiavi consente di far passare come legittimo codice che non lo è. Inoltre, poiché il processo di verifica avviene comparando chiavi che sono integrate nell'hardware di Intel, non è chiaro se la società possa intervenire per revocare le chiavi esistenti e istituirne di nuove.

Interrogata in merito, Intel ha fatto sapere di essere a conoscenza dei report e di stare indagando attivamente. "Alcuni ricercatori hanno affermato che le chiavi di firma private sono incluse nei dati, comprese le chiavi di firma OEM di MSI per Intel Boot Guard. Va notato che le chiavi Intel Boot Guard OEM sono generate dal produttore del sistema e non sono chiavi di firma Intel".

L'ultima frase sembrerebbe, ma il condizionale è d'obbligo, scongiurare un problema di proporzioni drammatiche (non che quanto successo non lo sia...). La situazione sembra in evoluzione, come illustrano diversi post sull'account Twitter di Matrosov, quindi è possibile che emergano altre informazioni a stretto giro.

I migliori sconti su Amazon oggi
-27%

FRITZ!Repeater 1200 AX Edition International, Ripetitore - Wi-Fi 6 extender Dual Band con 2.400 Mbit/s (5 GHz) & 600 Mbit/s (2,4 GHz), Mesh, Access Point, 1x Gigabit LAN, Interfaccia in italiano

95.99 69.99 Compra ora
-27%

HP 250R G9, Computer Portatile Notebook, Intel i5-1334u 10 Core 3.4Ghz, Display 15.6'' FHD, Ram 32GB, SSD 1000GB, Windows 11

529.00 Compra ora
-30%

XIAOMI TV F 65, 65 pollici (165 cm),4K UHD,Smart TV, Fire TV,Triple Tuner DVB-C/S/S2/T/T2, HDR10,MEMC, Modalità Game Boost 120Hz, Controllo Vocale Alexa, 2GB+32GB, Compatibile con AirPlay

569.00 399.00 Compra ora
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
jepessen09 Maggio 2023, 10:41 #1
Beh, se viene scoperta la chiave privata c'e' poco che si puo' fare... Nasconderla, criptarla a sua volta o altre cose del genere e' fondamentale, se qualcuno l'ha messa come stringa in chiaro in qualche codice sorgente e' semplicemente da licenziare a prescindere.

Detto questo, le chiavi si possono benissimo revocare; non c'e' un modo per revocare quella attuale, creare una nuova coppia e finita li?
zappy09 Maggio 2023, 21:25 #2
Originariamente inviato da: jepessen
...le chiavi si possono benissimo revocare; non c'e' un modo per revocare quella attuale, creare una nuova coppia e finita li?

l'articolo dice che sarebbero hardcoded nell'hw intel. Quindi si: compri una cpu di futura generazione e il gioco è fatto

iniziare la pubblicazione dei dati ottenuti, tra cui il codice sorgente del firmware delle motherboard di MSI.

mi sembra un’ottima notizia

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^