June 2, 2023


CPU Intel

Intel sedang menyelidiki kebocoran kunci pribadi yang diduga digunakan oleh fitur keamanan Intel BootGuard, yang berpotensi memengaruhi kemampuannya untuk memblokir penginstalan firmware UEFI berbahaya.

Pada bulan Maret, geng pemerasan Money Message menyerang perangkat keras komputer buatan MSI, mengklaim telah mencuri 1,5TB data selama serangan, termasuk firmware, kode sumber, dan basis data.

Sebagai pertama kali dilaporkan oleh BleepingComputergeng ransomware meminta tebusan $4.000.000 dan, setelah tidak dibayar, mulai membocorkan data MSI di situs kebocoran data mereka.

Pekan lalu, pelaku ancaman mulai membocorkan data MSI yang dicuri, termasuk kode sumber firmware yang digunakan oleh motherboard perusahaan.

Kode sumber MSI bocor di situs kebocoran data Pesan Uang
Kode sumber MSI bocor di situs kebocoran data Pesan Uang
Sumber: BleepingComputer

Intel BootGuard terpengaruh oleh serangan

Pada hari Jumat, Alex Matrosov, CEO platform keamanan rantai pasokan firmware Binarly, memperingatkan bahwa kode sumber bocor berisi kunci pribadi penandatanganan gambar untuk 57 produk MSI dan kunci pribadi Intel BootGuard untuk 166 produk.

“Kami mengetahui laporan ini dan secara aktif menyelidiki,” kata Intel kepada BleepingComputer sebagai tanggapan atas pertanyaan kami tentang kebocoran tersebut.

Binarly memperingatkan bahwa kebocoran kunci ini memengaruhi banyak merek berbeda, termasuk Intel, Lenovo, Supermicro, dan lainnya. Lebih buruk lagi, Matrosov mengatakan bahwa kebocoran ini mungkin menyebabkan Intel BootGuard tidak efektif pada perangkat MSI yang menggunakan CPU “11th Tiger Lake, 12th Adler Lake, dan 13th Raptor Lake”.

“Kami memiliki bukti bahwa seluruh ekosistem Intel dipengaruhi oleh pelanggaran data MSI ini. Ini merupakan ancaman langsung bagi pelanggan MSI dan sayangnya tidak hanya bagi mereka,” kata Matrosov kepada BleepingComputer Jumat sore.

“Kunci penandatanganan untuk gambar fw memungkinkan penyerang membuat pembaruan firmware jahat dan dapat dikirimkan melalui proses pembaruan bios normal dengan alat pembaruan MSI.”

“Kebocoran kunci Intel BootGuard memengaruhi seluruh ekosistem (tidak hanya MSI) dan membuat fitur keamanan ini tidak berguna.”

Intel BootGuard adalah fitur keamanan yang dibangun pada perangkat keras Intel modern yang dirancang untuk mencegah pemuatan firmware berbahaya, yang dikenal sebagai bootkit UEFI. Ini adalah fitur penting yang digunakan untuk memenuhi persyaratan Windows UEFI Secure Boot.

Ini karena firmware berbahaya dimuat sebelum sistem operasi, memungkinkannya menyembunyikan aktivitasnya dari kernel dan perangkat lunak keamanan, bertahan bahkan setelah sistem operasi diinstal ulang, dan membantu menginstal malware pada perangkat yang disusupi.

Untuk melindungi dari firmware berbahaya, Intel BootGuard akan memverifikasi apakah image firmware ditandatangani menggunakan kunci penandatanganan pribadi yang sah menggunakan kunci publik tersemat yang terpasang di perangkat keras Intel.

Jika firmware dapat diverifikasi sebagai ditandatangani secara sah, Intel BootGuard akan mengizinkannya dimuat di perangkat. Namun, jika tanda tangan gagal, firmware tidak akan dapat dimuat.

Penasihat biner tentang kunci Intel BootGuard yang bocor
Penasihat biner tentang kunci Intel BootGuard yang bocor
Sumber: Binar

Masalah terbesar dengan kebocoran ini adalah bahwa kunci publik yang digunakan untuk memverifikasi firmware yang ditandatangani menggunakan kunci yang bocor diyakini dibangun ke dalam perangkat keras Intel. Jika tidak dapat dimodifikasi, fitur keamanan tidak lagi dapat dipercaya.

“Kunci pribadi Manifest (KM) dan Boot Policy Manifest (BPM) ditemukan dalam kode sumber MSI yang bocor. Kunci ini digunakan untuk teknologi Boot Guard yang menyediakan verifikasi gambar firmware dengan perangkat keras Root of Trust,” Binarly memperingatkan dalam sebuah penasehat dibagikan pada Twitter.

“Kunci publik RSA Root OEM hash dari manajer KM diprogram ke dalam Field Programmable (FPFs) chipset. Tujuan utama KM adalah untuk menyimpan hash kunci publik RSA dari BPM yang pada gilirannya berisi informasi di Boot Kebijakan, deskripsi Initial Boot Block (IBB) dan hashnya.”

“Bagian pribadi yang bocor dari kunci yang disebutkan memungkinkan penyerang potensial untuk menandatangani firmware yang dimodifikasi untuk perangkat ini, sehingga akan melewati verifikasi Intel Boot Guard yang membuat teknologi ini sama sekali tidak efektif.”

Meskipun kunci ini kemungkinan tidak akan membantu sebagian besar pelaku ancaman, beberapa penyerang terampil sebelumnya telah menggunakan firmware berbahaya dalam serangan, seperti CosmicStrand Dan Teratai Hitam malware UEFI.

“Sekarang fitur tersebut dapat dikompromikan dan penyerang dapat membuat pembaruan firmware berbahaya pada perangkat yang terkena dampak tanpa mengkhawatirkan Intel BootGuard,” kata Matrosov dalam peringatan terakhir yang dibagikan kepada BleepingComputer.

Binar punya merilis daftar perangkat keras MSI yang terkena dampakterdiri dari 116 perangkat yang dilaporkan disusupi oleh kunci Intel BootGuard yang bocor.

BleepingComputer juga telah menghubungi MSI dan Intel dengan pertanyaan lebih lanjut, tetapi tanggapan tidak segera tersedia.



Leave a Reply

Your email address will not be published. Required fields are marked *