Ataque da MSI pode ter comprometido chaves privadas da Intel e de vários fabricantes
A Intel encontra-se a investigar a possibilidade das suas chaves privadas do Intel BootGuard terem sido comprometidas, depois do ataque sofrido pela MSI em Março.
De relembrar, em Março deste ano, a MSI confirmou ter sido vitima de um ataque informático, onde os atacantes podem ter obtido acesso a dados sensíveis da empresa, nomeadamente a esquemas de vários produtos, documentações internas, código fonte e alguns segredos da empresa. No total, os atacantes terão roubado mais de 1.5TB de dados durante o ataque.
Durante a semana passada, de acordo com o portal BleepingComputer, os atacantes começaram a divulgar os dados que roubaram da MSI, aparentemente pelas negociações entre as duas partes terem falhado. Entre os dados divulgados encontra-se código fonte do firmware da mesma, e vários itens associados com motherboards desta.
Por entre a informação que pode encontrar-se comprometida encontram-se chaves privadas de vários firmwares e imagens de produtos da MSI, mas também a chave privada do Intel BootGuard de 166 produtos da empresa.
Estas chaves dizem respeito aos produtos da própria MSI, sendo que a Intel afirma que as suas chaves privadas não foram diretamente comprometidas. No entanto, a empresa afirma que se encontra a investigar o incidente para determinar quais as chaves que foram exatamente comprometidas no ataque.
Apesar de estas chaves não serem diretamente da Intel, muitas delas são partilhadas entre diferentes fabricantes, portanto existe o potencial das mesmas terem sido usadas em outros produtos no mercado, tanto da MSI como de outras fabricantes reconhecidas.
Com isto em mente, o ataque direto da MSI pode não apenas afetar a empresa, mas também outras que poderiam ter usado as mesmas chaves privadas nos seus produtos. Com estas chaves, os atacantes podem assinar as suas próprias BIOS para diferentes produtos da empresa, fazendo-se passar como legitimas, e potencialmente tendo impacto para a segurança de utilizadores finais.
O Intel BootGuard é uma funcionalidade presente nos processadores mais recentes da Intel, que se foca exatamente a evitar que malware se instale nos firmwares dos sistemas, evitando assim que código possa ser colocado nos mesmos antes mesmo do sistema operativo carregar. A funcionalidade é vista como essencial para a segurança de sistemas com processadores Intel.
Com estas chaves privadas, os atacantes podem também criar BIOS que contornam esta proteção, contendo conteúdos maliciosos, mas que se fazem passar como legítimas.
Para os utilizadores que tenham sistemas da MSI, o recomendado será evitar qualquer instalação de BIOS de fontes desconhecidas ou que tenham sido indicadas por locais que não sejam os oficiais. Ao mesmo tempo, deve-se ter extremo cuidado no download de ferramentas que prometam atualizar estes conteúdos.