Il gruppo Money Message ha iniziato a pubblicare i dati rubati durante l’attacco effettuato contro MSI. Alex Matrosov, CEO di Binarly, ha scoperto che sono state svelate le chiavi private dei firmware e quelle usate dalla tecnologia Intel Boot Guard. Ciò potrebbe consentire l’installazione di firmware UEFI modificati.
Intel ha avviato un’indagine
I cybercriminali sono riusciti ad accedere ai server di MSI e rubare circa 1,5 TB di dati, tra cui codice sorgente, firmware e chiavi private, per i quali è stati chiesto il pagamento di un riscatto di 4 milioni di dollari entro cinque giorni. Il produttore taiwanese non ha pagato nulla, quindi il gruppo Money Message ha iniziato a pubblicare i dati.
Alex Matrosov ha scoperto chiavi private usate da MSI per firmare i firmware di 57 schede madri e chiavi private per Intel Boot Guard di 166 schede madri. Boot Guard è una funzionalità che impedisce l’installazione di firmware modificati, se la chiave privata non corrisponde a quella pubblica conservata nel PCH (Platform Controller Hub). L’accesso alle chiavi private rende inutile la protezione, in quanto consente di installare i bootkit UEFI.
Matrosov sottolinea che il problema riguarda tutti i prodotti con CPU Intel di 11esima, 12esima e 13esima generazione, ma non solo quelli di MSI. Intel ha comunicato di aver avviato un’indagine sull’accaduto, evidenziando però che le chiavi sono generate dal produttore delle schede madri. Ciò significa che MSI deve eventualmente revocare i certificati di firma (se possibile).
Binarly ha pubblicato su GitHub l’elenco dei prodotti MSI interessati e le chiavi usate per firmare le immagini dei firmware.
Ti potrebbe interessare
9 mag 2023