Criminalii cibernetici ar putea să atace mai ușor laptopurile MSI după ce o grupare de ransomware au pus mâna pe cheile de semnare a codurilor private pentru produsele companiei și le-au oferit spre vânzare.
Sursele scurgerii revin unui grup cunoscut sub numele de Money Message, care a anunțat luna trecută că s-a infiltrat în rețeaua MSI și a furat fișiere sensibile ale companiei, inclusiv presupusul cod sursă. Money Message susține că MSI a refuzat să plătească pentru a păstra informațiile secrete, așa că, joi, a postat datele furate pe site-ul său de pe dark web.
Firma de securitate cibernetică Binarly a analizat fișierele scurse și a confirmat că acestea conțin chei private de semnare a codurilor pentru firmware-ul MSI pentru 57 de produse. (Pagina GitHub a lui Binary menționează numele tuturor modelelor afectate.)
Aceste chei sunt importante deoarece MSI le folosește pentru a certifica că o actualizare de firmware vine de la companie. În caz contrar, un computer poate semnala software-ul ca nede încredere și potențial rău intenționat.
Acum, aceste chei scurse ar putea ajunge în mâini greșite și ar putea fi abuzate pentru a semna programe malware deghizate în software asociat MSI.
„Cheile de semnare pentru imaginea firmware permit unui atacator să creeze actualizări de firmware rău intenționate și pot fi livrate prin procese normale de actualizare a BIOS-ului cu instrumente de actualizare MSI”, a spus CEO-ul Biarly Alex Matrosov pentru PCMag.
Este posibil ca o actualizare de firmware rău intenționată să fie livrată prin site-uri web false sau mesaje de e-mail deghizate ca fiind de la MSI. Dar Matrosov spune pentru PCMag că vectorul de atac major implică utilizarea cheilor private „ca o a doua etapă utilă” după ce compromiterea inițială are loc printr-un browser sau un atac de phishing bazat pe documente. Majoritatea sistemelor antivirus ar fi rămas silențioase deoarece malware-ul ar fi fost semnat digital ca aparținând MSI și recunoscut ca o actualizare legitimă a firmware-ului.
Cealaltă problemă este că scurgerea conține, de asemenea, cheile de semnare private pentru Intel Boot Guard, care poate verifica codul corect al computerului care rulează atunci când un computer pornește pentru prima dată. Chei private sunt găsite în mod binar pentru Intel Boot Guard în 116 produse MSI. Dar compania a remarcat, de asemenea, că Intel Boot Guard este utilizat în industria tehnologiei.
„Scurgerea cheilor Intel BootGuard afectează întregul ecosistem (nu numai MSI) și face ca această caracteristică de securitate să fie inutilă”, a adăugat Matrosov.
MSI și Intel nu au răspuns imediat la o solicitare de comentarii, ceea ce a făcut neclar dacă pot revoca cheile private de semnare într-un fel sau altul. Deocamdată, MSI a avertizat doar că clienții ar trebui să instaleze actualizări de firmware și BIOS numai de pe site-urile web oficiale ale companiei, nu din surse terțe.
Totuși, Matrosov este îngrijorat de faptul că MSI are opțiuni limitate pentru a remedia problema. „Cred că pentru MSI va fi o situație complicată, deoarece pentru a furniza chei de semnare noi, trebuie să le folosească pe cele scurse”, a spus el. „Nu cred că au vreun mecanism de revocare.”
