Intel, Intel Boot Guard Security özelliği tarafından kullanılan özel anahtarların sızıntısını araştırıyor ve potansiyel olarak MSI cihazlarına kötü amaçlı UEFI ürün yazılımının kurulumunu engelleme yeteneğini etkiliyor.
Mart ayında, para mesajı gasp çetesi, saldırı sırasında ürün yazılımı, kaynak kodu ve veritabanları da dahil olmak üzere 1.5 TB veri çaldığını iddia ederek MSI'yi yapıyor.
BleepingComputer tarafından ilk bildirildiği gibi, fidye yazılımı çetesi 4.000.000 dolarlık bir fidye istedi ve ödenmedikten sonra veri sızıntı sitesinde MSI için verileri sızdırmaya başladı.
Geçen hafta, tehdit aktörleri, şirketin anakartları tarafından kullanılan ürün yazılımı için kaynak kodu da dahil olmak üzere MSI'nın çalınan verilerini sızdırmaya başladı.
Cuma günü, ürün yazılımı tedarik zinciri güvenlik platformu Binarly'nin CEO'su Alex Matrosov, sızdırılan kaynak kodunun 57 MSI ürünleri için özel anahtarları imzaladığı ve 116 MSI ürünleri için Intel Boot Guard Özel Anahtarları içerdiği konusunda uyardı.
Intel, BleepingComputer'a sızıntı hakkındaki sorularımıza yanıt olarak, "Intel bu raporların farkında ve aktif olarak araştırıyor. Araştırmacı, Intel® BootGuard için MSI OEM imzalama anahtarları da dahil olmak üzere verilere özel imza anahtarlarının dahil edildiğini iddia ediyor."
Diyerek şöyle devam etti: "Intel BootGuard OEM anahtarlarının sistem üreticisi tarafından üretildiğine ve bunlar Intel imzalama anahtarları olmadığına dikkat edilmelidir."
Matrosov, bu sızıntının "11. Tiger Gölü, 12. Adler Gölü ve 13. Raptor Gölü" CPU'larını kullanarak MSI cihazlarında etkili olmamasına neden olabileceğini söyledi.
Matrosov Cuma öğleden sonra BleepingComputer'a verdiği demeçte, "Tüm Intel ekosisteminin bu MSI veri ihlalinden etkilendiğine dair kanıtlarımız var. Bu, MSI müşterileri için doğrudan bir tehdit ve maalesef onlar için değil," dedi.
"FW görüntüsü için imza anahtarları, bir saldırganın kötü amaçlı ürün yazılımı güncellemeleri oluşturmasına izin verir ve MSI güncelleme araçlarıyla normal bir BIOS güncelleme işlemi ile teslim edilebilir."
"Intel Boot Guard Keys Sızıntısı tüm ekosistemi (yalnızca MSI değil) etkiler ve bu güvenlik özelliğini işe yaramaz hale getirir."
Intel Boot Guard, UEFI BootKits olarak bilinen kötü amaçlı ürün yazılımının yüklenmesini önlemek için tasarlanmış modern Intel donanımında yerleşik bir güvenlik özelliğidir. Windows UEFI güvenli önyükleme gereksinimlerini karşılamak için kullanılan kritik bir özelliktir.
Bunun nedeni, kötü niyetli ürün yazılımı işletim sisteminden önce yüklenmesi, faaliyetlerini çekirdek ve güvenlik yazılımından gizlemesine izin vermesi, bir işletim sistemi yeniden yüklendikten sonra bile devam etmesinin ve tehlike yazılımlarına kötü amaçlı yazılım yüklemesine yardımcı olmasıdır.
Kötü amaçlı ürün yazılımına karşı korumak için Intel Boot Guard, Intel Donanımında yerleşik gömülü bir genel anahtar kullanılarak meşru bir özel imza anahtarı kullanılarak bir ürün yazılımı görüntüsünün imzalanıp imzalanmadığını doğrulayacaktır.
Ürün yazılımı meşru bir şekilde imzalanmış olarak doğrulanabilirse, Intel Boot Guard cihaza yüklenmesine izin verir. Ancak, imza başarısız olursa, ürün yazılımının yüklenmesine izin verilmez.
Bu sızıntı ile ilgili en büyük sorun, sızdırılan tuşları kullanarak imzalanan ürün yazılımının doğrulamak için kullanılan genel anahtarların Intel donanımına yerleştirildiğine inanılmasıdır. Değiştirilemezlerse, bu sızdırılmış tuşları kullanarak güvenlik özelliği artık cihazlarda güvenilir değildir.
Binarly'ye bir danışmanlıkta "Sızan MSI kaynak kodunda," Manifest (KM) ve Önyükleme Politikası Manifest (BPM) özel tuşları sızdırılan MSI kaynak kodunda bulundu. Twitter'da paylaşıldı.
"KM yöneticisinden Hash OEM kökü RSA genel anahtarı, yonga setinin saha programlanabilir (FPFS) olarak programlanmıştır. KM'nin temel amacı, BPM'den bir RSA genel anahtarının karmasını, bot üzerindeki bilgileri içeren Politika, ilk önyükleme bloğu (IBB) açıklaması ve karma. "
"Bahsedilen tuşların sızdırılmış özel kısımları, potansiyel bir saldırganın bu cihaz için değiştirilmiş ürün yazılımını imzalamasına izin veriyor, bu nedenle Intel Boot Guard'ın bu teknolojiyi tamamen etkisiz hale getirmesini sağlayacak."
Bu anahtarlar çoğu tehdit aktörüne yardımcı olmayacak olsa da, bazı yetenekli saldırganlar daha önce Cosmicstrand ve Blacklotus UEFI kötü amaçlı yazılım gibi saldırılarda kötü amaçlı ürün yazılımı kullanmışlardır.
Matrosov, BleepingComputer ile paylaşılan son bir uyarıda, "Şimdi özellik tehlikeye atılabilir ve saldırganlar, Intel Boot Koruma Koruması ile ilgili endişeler olmadan etkilenen cihazlarda kötü amaçlı ürün yazılımı güncellemeleri oluşturabilir." Dedi.
Binarly, sızdırılmış Intel Boot Guard Keys tarafından tehlikeye atılan 116 MSI cihazından oluşan etkilenen MSI donanımının bir listesini yayınladı.
BleepingComputer ayrıca MSI ve Intel ile daha fazla soru ile temasa geçti, ancak bir yanıt hemen mevcut değildi.
Güncelleme 5/8/23: Intel'den ifade eklendi
Microsoft, Blacklotus UEFI Bootkit saldırılarını tespit etmek için rehberliği paylaşıyor
MSI, fidye yazılımı saldırısı taleplerini takiben güvenlik ihlalini teyit eder
Para Mesajı Fidye Yazılımı Çetesi MSI ihlalini talep ediyor, 4 milyon dolar talep ediyor
Github.com maruz kalan özel SSH anahtarını döndürür
Intel CPU'lar Yeni Geçici Yürütme Yan Kanal Saldırısına Korunmasız
Kaynak: Bleeping Computer