La perdita delle chiavi Intel Boot Guard potrebbe avere ripercussioni sulla sicurezza per anni

La potenziale fuga di notizie da parte di MSI Gaming sulla firma delle chiavi per un'importante funzionalità di sicurezza nel firmware basato su Intel potrebbe gettare un'ombra sulla sicurezza del firmware per gli anni a venire e lasciare i dispositivi che utilizzano le chiavi altamente vulnerabile agli attacchi informatici, dicono gli esperti di sicurezza.

Intel sta ancora "indagando attivamente" su una presunta fuga di chiavi private Intel Boot Guard per 116 prodotti MSI, ha detto la società a Dark Reading. L'indagine arriva dopo un'affermazione di Alex Matrosov, CEO della piattaforma di sicurezza della catena di fornitura del firmware Binarly, secondo cui sarebbe trapelato il codice sorgente da un Attacco informatico del marzo 2023 a MSI include questi dati, oltre alle chiavi private per la firma delle immagini per 57 prodotti MSI.

“Confermato, la chiave privata Intel OEM è trapelata, causando un impatto sull’intero ecosistema. Sembra che Intel BootGuard potrebbe non essere efficace su alcuni dispositivi basati sui processori 11° Tiger Lake, 12° Adler Lake e 13° Raptor Lake”. ha twittato.

La presunta fuga di notizie arriva circa un mese dopo che una banda di ransomware emergente è stata identificata come "Money Message" ha colpito l’MSI con sede a Taiwan con un attacco ransomware a doppia estorsione, sostenendo di aver rubato 1.5 TB di dati durante l'attacco, inclusi firmware, codice sorgente e database.

Quando il riscatto di 4 milioni di dollari richiesto dal gruppo non è stato pagato, gli aggressori hanno iniziato a pubblicare i dati rubati durante l’attacco sul loro sito di fuga di informazioni. La settimana scorsa, i dati rubati di MSI, incluso il codice sorgente del firmware utilizzato dalle schede madri dell'azienda, sono comparsi su quel sito.

Perchè importa

Intel Boot Guard è un file tecnologia di sicurezza basata su hardware mirava a proteggere i computer dall'esecuzione di firmware UEFI (Unified Extensible Firmware Interface) manomesso e non originale, "che potrebbe accadere nel caso in cui un possibile utente malintenzionato abbia aggirato la protezione contro la modifica del BIOS", ha spiegato il team di Binarly efiXplorer in un post sul blog pubblicato lo scorso novembre.

Quel post è arrivato in risposta a un Perdita di ottobre del BIOS UEFI di Alder Lake, il nome in codice di Intel per il suo ultimo processore, nonché le coppie di chiavi richieste da Boot Guard durante la fase di provisioning.

Se gli autori delle minacce entrano in possesso delle chiavi di firma Intel Boot Guard correlate a MSI, potrebbero potenzialmente caricarsi firmware vulnerabile sui dispositivi interessati, tra cui le schede madri MSI, che sembrano essere firmati dal fornitore e quindi legittimi.

Inoltre, il BIOS viene eseguito anche prima del sistema operativo del dispositivo, il che significa che il codice vulnerabile è presente al livello più elementare del dispositivo e quindi difficile da applicare con patch o da cui difendersi, complicando ulteriormente lo scenario, osserva un esperto di sicurezza.

"A causa della natura del modo in cui queste chiavi sono incorporate e utilizzate, il consueto consiglio di installare patch di sicurezza potrebbe non essere possibile", Darren Guccione, CEO e co-fondatore della società di software di sicurezza informatica Custode di sicurezza, ha detto in un'e-mail a Dark Reading.

Per rimediare al problema, i team di sicurezza dovrebbero potenzialmente implementare “controlli non standard per monitorare eventuali violazioni se il malware inizia a utilizzare queste chiavi”, osserva. “Senza una soluzione di sicurezza semplice, questo potrebbe rivelarsi un vettore di attacco dannoso a lungo termine”, afferma Guccione.

Guai futuri al firmware

In effetti, il lungo termine è ciò che preoccupa gli esperti di sicurezza riguardo alla fuga di notizie. Dicono che è probabile che gli autori delle minacce si avventino sulla disponibilità delle chiavi di firma di Intel Boot Guard, presentando un grave problema di sicurezza del firmware per gli anni a venire.

"Il furto delle chiavi di firma, soprattutto per qualcosa che può essere aggiornato solo nel firmware (il che significa che poche persone lo faranno), di solito comporta una lunga serie di incidenti anni dopo la divulgazione", ha avvertito John Bambenek, principale cacciatore di minacce presso Netenrich, una società SaaS di analisi della sicurezza e delle operazioni.

Il suo commento solleva un buon punto: la vulnerabilità intrinseca del firmware obsoleto dei dispositivi, che spesso viene trascurata nei cicli di patch e quindi, se vulnerabile, rappresenta una superficie di attacco ampia e pericolosa, osserva Matt Mullins, ricercatore senior sulla sicurezza presso Cybrary.

"Considerando che la maggior parte delle persone non applica patch all'UEFI o al firmware in generale, le persone interessate probabilmente non sapranno come applicare le patch a questi dispositivi in ​​modo appropriato", afferma. "L'accesso fornito agli autori malintenzionati a questo proposito è in qualche modo peggiore dell'ottenimento di un SYSTEM o di una shell root."

Questo perché con l'accesso alle chiavi di firma, le protezioni del sistema come le firme dei driver o il rilevamento di attività dannose a livello del kernel o inferiore "saranno essenzialmente nulle perché il bootkit dannoso può caricarsi prima/sotto", afferma Mullins.

"Caricando al di sotto di questo, può dirottare o bypassare importanti processi associati all'integrità del dispositivo (come le operazioni di I/O) e rendersi effettivamente permanente senza il flash appropriato e il ricaricamento del firmware", afferma.

Protezione del firmware

Sebbene la situazione possa sembrare disastrosa, un esperto di sicurezza ha cercato di sedare i timori emersi dopo la notizia della fuga di notizie, sottolineando che la minaccia complessiva per i dispositivi MSI interessati "è relativamente bassa a causa dei passaggi che un attore della minaccia dovrebbe compiere" per sfruttare le chiavi.

"Al contrario, consideriamo i dispositivi IoT/OT che spesso non dispongono di firme digitali per il firmware ed esistono su una scala notevolmente più elevata rispetto ai dispositivi MSI", afferma Bud Broomhead, CEO di Viakoo, un fornitore di servizi di igiene informatica IoT automatizzati.

Detto questo, ci sono modi per mitigare o difendersi da eventuali rischi derivanti dall’incidente, dicono gli esperti.

Un buon inizio è assicurarsi di disporre di un processo affidabile per tutte le risorse digitali, compreso IoT/OT, afferma Broomhead. Nel frattempo, l’utilizzo di altre forme di protezione, come il monitoraggio e il controllo dell’accesso alla rete, dovrebbe aiutare a impedire che lo sfruttamento delle chiavi trapelate “causi uno sfruttamento molto più ampio”, aggiunge.

L'ultima fuga di notizie dovrebbe anche servire a ricordare alle organizzazioni che il firmware e le altre chiavi private dovrebbero essere tenute il più possibile separate dal codice per mitigare il rischio di furto, osserva Bambenek.

Altre misure di mitigazione che le organizzazioni possono adottare per difendersi dagli attacchi al firmware includono l'ovvia applicazione di patch che, sebbene spesso trascurata, "costituisce principalmente la migliore difesa contro questo potenziale attacco futuro", afferma Mullins.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
• Coniare il futuro con Adryenn Ashley. Accedi qui.
• Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
• Fonte: https://www.darkreading.com/attacks-breaches/leak-of-intel-boot-guard-keys-could-have-security-repercussions-for-years