Dateien, die während des umfangreichen MSI-Hacks im letzten Monat entwendet wurden, haben begonnen, sich im Dark Web zu vermehren. Eines der besorgniserregenderen Dinge, die unter der digitalen Beute entdeckt wurden, ist ein privater Intel-OEM-Schlüssel. MSI hätte dies verwendet, um seine Firmware-/BIOS-Updates zu signieren, um die Intel Boot Guard-Verifizierungsprüfungen zu bestehen. Jetzt können Hacker den Schlüssel verwenden, um bösartiges BIOS, Firmware und Apps zu signieren, die vollständig wie offizielle MSI-Versionen aussehen.
Nachdem MSI letzten Monat gehackt wurde, begann es damit Kunden drängen Firmware-/BIOS-Updates ausschließlich von seiner offiziellen Website zu beziehen. Die bekannte Firma für PCs, Komponenten und Peripheriegeräte wurde von einer Ransomware-Gruppe namens Money Message erpresst. Anscheinend hatten die Erpresser 1,5 TB an Daten geklaut, darunter verschiedene Quellcodedateien, private Schlüssel und Tools zur Entwicklung von Firmware. Berichten zufolge forderte Money Message über vier Millionen Dollar, um die gesamten Daten an MSI zurückzusenden. Über ein Monat ist vergangen und es sieht so aus, als hätte MSI nicht bezahlt. Daher sehen wir jetzt den Fallout.
Intel Boot Guard stellt sicher, dass PCs vor dem Booten nur verifizierte Apps ausführen können. In einem weißes Papier zum Thema „Below-the-OS-Security“ (PDF) spricht Intel mit einigem Stolz über seine Technologien BIOS Guard, Boot Guard und Firmware Guard. Boot Guard ist ein „Schlüsselelement der hardwarebasierten Boot-Integrität, das die Microsoft Windows-Anforderungen für UEFI Secure Boot erfüllt“. Leider wird es für eine breite Palette von MSI-Systemen kein nützlicher “Wächter” mehr sein.
Tweets veröffentlicht von Binär (eine Lieferketten-Sicherheitsplattform) und ihr Gründer Alex Matrosov, erläutern die Gefahren, die dieses Leck von Boot Guard-Schlüsseln und anderen Daten im MSI-Transport darstellt. Der Sicherheitsspezialist geht davon aus, dass auch andere Gerätehersteller von MSIs Leak betroffen sein werden, darunter Intel, Lenovo, Supermicro und viele andere. Eine von Binarly verlinkte GitHub-Seite listet die 57 MSI-PC-Systeme auf, bei denen Firmware-Schlüssel durchgesickert sind, und die 166 Systeme, bei denen Intel Boot Guard BPM/KM-Schlüssel durchgesickert sind.
Wenn Sie sich die Listen der betroffenen Maschinen ansehen, sehen Sie alle bekannten MSI-Serien wie Sword, Stealth, Creator, Prestige, Modern, Cyborg, Raider, Titan. Besitzer dieser Systeme mit Intel Core Tiger Lake-CPUs der 11. Generation oder neuer müssen sich strikt an die Updates nur auf der MSI-Site halten.
Zusätzlich zu den Boot Guard-Sorgen ist es möglich, dass Hacker versuchen, Benutzer zu phishen, damit sie auf eine gefälschte MSI-Seite gehen oder gefälschte MSI-Apps herunterladen. Diese Apps können jetzt signiert werden und scheinen wirklich von MSI zu stammen, sodass sie ausgeführt werden können, ohne Ihr AV auszulösen.
Dieses Leck hat sicherlich ein Durcheinander angerichtet, und es ist nicht klar, ob die durchgesickerten Schlüssel widerrufen werden können oder was die nächsten Schritte der beteiligten Parteien sein werden. Zum Zeitpunkt des Verfassens dieses Artikels haben wir keine offizielle Reaktion von MSI oder Intel bezüglich der nun veröffentlichten Dateien gesehen. Bitte vermeiden Sie es, die gestohlenen Dateien im Dark Web oder anderen Quellen zu überprüfen, da sie jetzt möglicherweise mit Malware durchsetzt sind.