Intel sedang menyelidiki kebocoran kunci privat yang diduga digunakan oleh fitur keamanan Intel Boot Guard, yang berpotensi memengaruhi kemampuannya untuk memblokir penginstalan firmware UEFI berbahaya di perangkat MSI.
Pada bulan Maret, geng pemerasan Money Message menyerang perangkat keras komputer buatan MSI, mengklaim telah mencuri 1,5TB data selama serangan, termasuk firmware, kode sumber, dan basis data.
Sebagai pertama kali dilaporkan oleh BleepingComputergeng ransomware meminta tebusan $4.000.000 dan, setelah tidak dibayar, mulai membocorkan data MSI di situs kebocoran data mereka.
Pekan lalu, pelaku ancaman mulai membocorkan data MSI yang dicuri, termasuk kode sumber firmware yang digunakan oleh motherboard perusahaan.
Sumber: BleepingComputer
Intel Boot Guard terpengaruh oleh serangan
Pada hari Jumat, Alex Matrosov, CEO platform keamanan rantai pasokan firmware Binarly, memperingatkan bahwa kode sumber bocor berisi kunci privat penandatanganan gambar untuk 57 produk MSI dan kunci privat Intel Boot Guard untuk 116 produk MSI.
“Intel mengetahui laporan ini dan secara aktif menyelidiki. Ada klaim peneliti bahwa kunci penandatanganan pribadi disertakan dalam data termasuk MSI OEM Signing Keys untuk Intel® Boot Guard,” kata Intel kepada BleepingComputer sebagai tanggapan atas pertanyaan kami tentang kebocoran tersebut.
“Perlu dicatat bahwa kunci Intel Boot Guard OEM dihasilkan oleh pabrikan sistem, dan ini bukan kunci penandatanganan Intel.”
Matrosov mengatakan bahwa kebocoran ini mungkin menyebabkan Intel Boot Guard tidak efektif pada perangkat MSI yang menggunakan CPU “11th Tiger Lake, 12th Adler Lake, dan 13th Raptor Lake”.
“Kami memiliki bukti bahwa seluruh ekosistem Intel dipengaruhi oleh pelanggaran data MSI ini. Ini merupakan ancaman langsung bagi pelanggan MSI dan sayangnya tidak hanya bagi mereka,” kata Matrosov kepada BleepingComputer Jumat sore.
“Kunci penandatanganan untuk gambar fw memungkinkan penyerang membuat pembaruan firmware jahat dan dapat dikirimkan melalui proses pembaruan bios normal dengan alat pembaruan MSI.”
“Kebocoran kunci Intel Boot Guard memengaruhi seluruh ekosistem (tidak hanya MSI) dan membuat fitur keamanan ini tidak berguna.”
Intel Boot Guard adalah fitur keamanan yang dibangun pada perangkat keras Intel modern yang dirancang untuk mencegah pemuatan firmware berbahaya, yang dikenal sebagai bootkit UEFI. Ini adalah fitur penting yang digunakan untuk memenuhi persyaratan Windows UEFI Secure Boot.
Ini karena firmware berbahaya dimuat sebelum sistem operasi, memungkinkannya menyembunyikan aktivitasnya dari kernel dan perangkat lunak keamanan, bertahan bahkan setelah sistem operasi diinstal ulang, dan membantu menginstal malware pada perangkat yang disusupi.
Untuk melindungi dari firmware berbahaya, Intel Boot Guard akan memverifikasi apakah citra firmware ditandatangani menggunakan kunci penandatanganan pribadi yang sah menggunakan kunci publik tersemat yang terpasang di perangkat keras Intel.
Jika firmware dapat diverifikasi sebagai ditandatangani secara sah, Intel Boot Guard akan mengizinkannya dimuat di perangkat. Namun, jika tanda tangan gagal, firmware tidak akan dapat dimuat.
Sumber: Binar
Masalah terbesar dengan kebocoran ini adalah bahwa kunci publik yang digunakan untuk memverifikasi firmware yang ditandatangani menggunakan kunci yang bocor diyakini dibangun ke dalam perangkat keras Intel. Jika tidak dapat dimodifikasi, fitur keamanan tidak lagi dapat dipercaya pada perangkat yang menggunakan kunci yang bocor tersebut.
“Kunci pribadi Manifest (KM) dan Boot Policy Manifest (BPM) ditemukan dalam kode sumber MSI yang bocor. Kunci ini digunakan untuk teknologi Boot Guard yang menyediakan verifikasi gambar firmware dengan perangkat keras Root of Trust,” Binarly memperingatkan dalam sebuah penasehat dibagikan pada Twitter.
“Kunci publik RSA Root OEM hash dari manajer KM diprogram ke dalam Field Programmable (FPFs) chipset. Tujuan utama KM adalah untuk menyimpan hash kunci publik RSA dari BPM yang pada gilirannya berisi informasi di Boot Kebijakan, deskripsi Initial Boot Block (IBB) dan hashnya.”
“Bagian pribadi yang bocor dari kunci yang disebutkan memungkinkan penyerang potensial untuk menandatangani firmware yang dimodifikasi untuk perangkat ini, sehingga akan melewati verifikasi Intel Boot Guard yang membuat teknologi ini sama sekali tidak efektif.”
Meskipun kunci ini kemungkinan tidak akan membantu sebagian besar pelaku ancaman, beberapa penyerang terampil sebelumnya telah menggunakan firmware berbahaya dalam serangan, seperti CosmicStrand Dan Teratai Hitam malware UEFI.
“Sekarang fitur tersebut dapat dikompromikan dan penyerang dapat membuat pembaruan firmware berbahaya pada perangkat yang terkena dampak tanpa mengkhawatirkan Intel Boot Guard,” kata Matrosov dalam peringatan terakhir yang dibagikan kepada BleepingComputer.
Binar punya merilis daftar perangkat keras MSI yang terkena dampakterdiri dari 116 perangkat MSI yang dilaporkan disusupi oleh kunci Intel Boot Guard yang bocor.
BleepingComputer juga telah menghubungi MSI dan Intel dengan pertanyaan lebih lanjut, tetapi tanggapan tidak segera tersedia.
Perbarui 5/8/23: Menambahkan pernyataan dari Intel
