Cez CPU Intel sa dá obísť ochrana v UEFI| TOUCHIT

Hackerský útok na spoločnosť MSI má teraz dohru.

Firma Intel vyšetruje únik súkromných kľúčov, ktoré používala bezpečnostná funkcia Intel BootGuard. Téme sa venoval web Bleeping Computer, pričom už v marci došlo k úniku 1,5 TB údajov vrátane firmvéru zdrojového kódu a databáz od firmy MSI. Gang od firmy požadoval výkupné 4 miliónov dolárov. Keďže spoločnosť toto výkupné nezaplatila, začali zverejňovať svoje získané údaje. Medzi nimi aj súkromné kľúče, ktoré slúžia na podpisovanie obrazov pre softvérové produkty firmy, no zároveň aj kľúče, ktoré slúžia spomínanej funkcii od Intelu.

K útoku sa vyjadril aj generálny riaditeľ firmy Binary Alex Matrosov, ktorý má na starosti bezpečnosť dodávateľského reťazca. Ide v zásade o to, aby mali používatelia istotu, že firmvér alebo podpísané obrazy s digitálnou šifrou sú skutočne od výrobcu a neboli nijako neautorizovane menené. Tieto úniky negatívne ovplyvňujú aj firmu Intel. Tá vedie vlastné prešetrovania. Zároveň ale treba dodať, že firma negeneruje podpisové kľúče. To robí vždy výrobca, teda v tomto prípade MSI. Podľa twitterovského príspevku spoločnosti Binary má problém nielen samotný Intel alebo MSI, ale aj Lenovo či Supermicro. Je možné, že ovplyvní budú aj ďalší výrobcovia, o ktorých sa momentálne ešte nevie.

⛓️Digging deeper into the aftermath of the @msiUSA data breach and its impact on the industry.

🔥Leaked Intel BootGuard keys from MSI are affecting many different device vendors, including @Intel , @Lenovo, @Supermicro_SMCI, and many others industry-wide.

🔬#FwHunt is on! https://t.co/NuPIUJQUgr pic.twitter.com/ZB8XKj33Hv
— BINARLY🔬 (@binarly_io) May 5, 2023

Matrosov ďalej uvádza, že únik mohol spôsobiť to, že ochranný systém Intel BootGuard nebol účinný v zariadeniach používajúcich procesory 11., 12. a 13. generácie. Ak útočník získa podpisové kľúče, môže vydať škodlivú aktualizáciu firmvéru a tá môže byť neskôr zneužitá. Ide totiž o možnosť infiltrovať sa do UEFI systému a zaviesť doňho škodlivé kódy. Nepomôže preinštalovanie počítača ani výmena pevného disku, pretože tieto škodlivé kódy stále zostávajú na čipe v počítači.

Za bežných okolností by tento únik nepredstavoval vážnejší problém, no v tomto prípade ide o to, že verejné kľúče, ktoré sú používané na overenie firmvéru podpísaného pomocou uniknutých kľúčov, sú s najväčšou pravdepodobnosťou aj v hardvéri Intel. Tie sa ale nedajú pozmeniť a to znamená, že bezpečnostná funkcia nebude dôveryhodná. Je zrejmé, že táto chyba respektíve zraniteľnosť nebude hromadne zneužívaná a je treba na to špecifické znalosti.

Menej pozitívne je však to, že finančne motivované vydieračské skupiny môžu naprogramovať malvér, ktorý bude zabudovaný v spomínanom systéme UEFI. Takto sa dá nainštalovať napríklad ransomvér, ktorý bude šifrovať pevné disky a žiadať po používateľoch výkupné.

Zdroj: Bleeping Computer

Prečítajte si aj: