Kebocoran Kunci Boot Guard Intel Bisa Berdampak pada Keamanan Selama Bertahun-tahun

Potensi kebocoran dari MSI Gaming mengenai penandatanganan kunci untuk fitur keamanan penting dalam firmware berbasis Intel dapat membayangi keamanan firmware selama bertahun-tahun yang akan datang dan meninggalkan perangkat yang menggunakan kunci tersebut. sangat rentan terhadap serangan siber, kata pakar keamanan.

Intel masih “secara aktif menyelidiki” dugaan kebocoran kunci pribadi Intel Boot Guard untuk 116 produk MSI, kata perusahaan itu kepada Dark Reading. Investigasi dilakukan setelah klaim Alex Matrosov, CEO platform keamanan rantai pasokan firmware Binarly, yang membocorkan kode sumber dari a Serangan siber Maret 2023 di MSI mencakup data ini, serta kunci pribadi penandatanganan gambar untuk 57 produk MSI.

“Dikonfirmasi, kunci pribadi OEM Intel bocor sehingga berdampak pada seluruh ekosistem. Tampaknya Intel BootGuard mungkin tidak efektif pada perangkat tertentu yang berbasis prosesor 11th Tiger Lake, 12th Adler Lake, dan 13th Raptor Lake”, dia tweeted.

Dugaan kebocoran ini terjadi sekitar sebulan setelah munculnya geng ransomware yang dilacak sebagai “Pesan Uang” memukul MSI yang berbasis di Taiwan dengan serangan ransomware pemerasan ganda, mengklaim telah mencuri 1.5 TB data selama serangan tersebut, termasuk firmware, kode sumber, dan database.

Ketika uang tebusan sebesar $4 juta yang diminta kelompok tersebut tidak dibayarkan, para penyerang mulai memposting data yang dicuri dalam serangan tersebut di situs kebocoran mereka. Minggu lalu, data MSI yang dicuri—termasuk kode sumber untuk firmware yang digunakan oleh motherboard perusahaan—muncul di situs tersebut.

Mengapa hal itu penting

Intel Boot Guard adalah teknologi keamanan berbasis perangkat keras bertujuan untuk melindungi komputer dari eksekusi firmware Unified Extensible Firmware Interface (UEFI) yang dirusak dan tidak asli, “yang dapat terjadi jika ada kemungkinan penyerang telah melewati perlindungan terhadap modifikasi BIOS,” Tim Binarly efiXplorer menjelaskan dalam posting blog diterbitkan bulan November lalu.

Postingan itu muncul sebagai tanggapan terhadap sebuah Kebocoran UEFI BIOS Alder Lake bulan Oktober, nama kode Intel untuk prosesor terbarunya, serta pasangan kunci yang diperlukan oleh Boot Guard selama tahap penyediaan.

Jika pelaku ancaman mendapatkan kunci penandatanganan Intel Boot Guard terkait MSI, mereka berpotensi dapat memuat firmware yang rentan ke perangkat yang terkena dampak—termasuk motherboard MSI—yang tampaknya ditandatangani oleh vendor dan karenanya sah.

Selain itu, BIOS berjalan bahkan sebelum OS suatu perangkat, yang berarti kode yang rentan terdapat pada tingkat perangkat paling dasar sehingga sulit untuk ditambal atau dipertahankan, sehingga semakin memperumit skenario, kata seorang pakar keamanan.

“Karena sifat dari kunci-kunci ini yang tertanam dan digunakan, saran umum untuk menginstal patch keamanan mungkin tidak dapat dilakukan,” Darren Guccione, CEO dan salah satu pendiri perusahaan perangkat lunak keamanan siber Penjaga Keamanan, katanya dalam email ke Dark Reading.

Untuk mengatasi masalah ini, tim keamanan mungkin harus menerapkan “kontrol non-standar untuk memantau pelanggaran jika malware mulai menggunakan kunci ini,” catatnya. “Tanpa solusi keamanan yang sederhana, hal ini dapat menjadi vektor serangan yang merusak dalam jangka panjang,” kata Guccione.

Masalah Firmware di Masa Depan

Memang, jangka panjang inilah yang membuat para pakar keamanan khawatir dengan kebocoran tersebut. Mereka mengatakan kemungkinan besar pelaku ancaman akan memanfaatkan ketersediaan kunci penandatanganan Intel Boot Guard, sehingga menimbulkan masalah keamanan firmware yang besar di tahun-tahun mendatang.

“Mencuri kunci penandatanganan, terutama untuk sesuatu yang hanya dapat diperbarui dalam firmware (yang berarti hanya sedikit orang yang akan melakukannya), biasanya memerlukan banyak insiden bertahun-tahun setelah pengungkapannya,” John Bambenek, pemburu ancaman utama di orang kaya, sebuah perusahaan SaaS analisis keamanan dan operasi.

Komentarnya memberikan poin yang bagus: kerentanan yang melekat pada firmware perangkat yang sudah ketinggalan zaman, yang sering diabaikan dalam siklus patching dan dengan demikian, jika rentan, merupakan permukaan serangan yang besar dan berbahaya, catat Matt Mullins, peneliti keamanan senior di Cybrary.

“Mengingat kebanyakan orang tidak menerapkan patch pada UEFI atau firmware secara umum, individu yang terkena dampak mungkin tidak tahu cara melakukan patch pada perangkat ini dengan tepat,” katanya. “Akses yang diberikan kepada aktor jahat sehubungan dengan hal ini dalam beberapa hal lebih buruk daripada mendapatkan SISTEM atau root shell.”

Hal ini karena dengan akses ke kunci penandatanganan, perlindungan sistem seperti tanda tangan driver atau deteksi aktivitas jahat di tingkat kernel atau di bawahnya “pada dasarnya tidak berlaku karena bootkit jahat dapat dimuat sebelum/di bawahnya,” kata Mullins.

“Dengan memuat di bawah itu, ia dapat membajak atau melewati proses penting yang terkait dengan integritas perangkat (seperti operasi I/O) dan secara efektif menjadikan dirinya permanen tanpa flash yang sesuai dan memuat ulang firmware,” katanya.

Melindungi Firmware

Meskipun situasinya mungkin tampak mengerikan, salah satu pakar keamanan mencoba meredam ketakutan yang muncul terkait berita kebocoran tersebut dengan menyatakan bahwa ancaman keseluruhan terhadap perangkat MSI yang terkena dampak “relatif rendah karena langkah-langkah yang perlu dilakukan oleh pelaku ancaman” untuk mengatasi hal tersebut. mengeksploitasi kuncinya.

“Sebaliknya, pertimbangkan perangkat IoT/OT yang sering kali tidak memiliki tanda tangan digital untuk firmware dan berada pada skala yang jauh lebih tinggi dibandingkan perangkat MSI,” kata Bud Broomhead, CEO di Viakoo, penyedia kebersihan cyber IoT otomatis.

Meskipun demikian, ada cara untuk memitigasi atau mempertahankan risiko apa pun dari insiden tersebut, kata para ahli.

Awal yang baik adalah memastikan Anda memiliki proses tepercaya untuk semua aset digital termasuk IoT/OT, kata Broomhead. Sementara itu, penggunaan bentuk perlindungan lain, seperti pemantauan dan kontrol akses jaringan, akan membantu mencegah eksploitasi kunci yang bocor “agar tidak menyebabkan eksploitasi yang lebih besar,” tambahnya.

Kebocoran terbaru ini juga harus menjadi pengingat bagi organisasi bahwa firmware dan kunci pribadi lainnya harus disimpan terpisah dari kode sebisa mungkin untuk mengurangi risiko pencurian, catat Bambenek.

Mitigasi lain yang dapat dilakukan organisasi untuk bertahan dari serangan firmware termasuk penerapan patch yang jelas, meskipun sering diabaikan, “pada dasarnya merupakan pertahanan terbaik terhadap potensi serangan di masa depan,” kata Mullins.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
• Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
• Sumber: https://www.darkreading.com/attacks-breaches/leak-of-intel-boot-guard-keys-could-have-security-repercussions-for-years