MSI Breach Leaks Intel BootGuard et les clés de signature d’image OEM, compromettent la sécurité de plus de 200 appareils

Par Alexandre Lefevre Mis à jour le 6 Mai 2023 à 15 h 48

Une récente brèche dans les serveurs de MSI a exposé les clés BootGuard d’Intel et a maintenant mis en danger la sécurité de divers appareils.

Une violation majeure de MSI affecte la sécurité de divers périphériques Intel

Le mois dernier, un groupe de pirates du nom de Money Message a révélé qu’il avait piraté les serveurs de MSI et volé 1,5 To de données sur les serveurs de l’entreprise, y compris le code source parmi une liste de divers fichiers importants pour l’intégrité de l’entreprise. Le groupe a demandé à MSI de payer 4,0 millions de dollars de rançon pour les empêcher de divulguer les fichiers au public, mais MSI a refusé le paiement.

Cette action a incité le groupe à publier les fichiers sur des serveurs publics ce jeudi et sur la base d’une enquête menée par BINAIREles fichiers incluent les clés Intel BootGuard de MSI qui affectent non seulement MSI lui-même, mais également d’autres fournisseurs majeurs, notamment Intel, Lenovo, Supermicron et bien d’autres.

⛓️Creuser plus profondément les conséquences de la @msiUSA violation de données et son impact sur l’industrie.

????Les fuites de clés Intel BootGuard de MSI affectent de nombreux fournisseurs d’appareils différents, y compris @Intel , @Lenovo, @Supermicro_SMCIet bien d’autres à l’échelle de l’industrie.

????#FwHunt est sur! https://t.co/NuPIUJQUgr pic.twitter.com/ZB8XKj33Hv

— BINAIRE???? (@binarly_io) 5 mai 2023

Les fichiers divulgués contiennent des clés de signature pour un total de plus de 200 produits MSI qui peuvent être utilisés pour accéder au firmware de ces appareils. Ceux-ci incluent un total de 57 appareils dont les clés de signature d’image du firmware ont fui et 116 appareils dont les clés Intel BootGuard ont fui.

La raison pour laquelle ces clés sont si importantes est qu’elles sont utilisées pour signaler certains logiciels qui ne sont pas vérifiés comme non fiables et « potentiellement malveillants », explique PCMAG. Ces clés peuvent être utilisées pour marquer les logiciels malveillants avec des logiciels malveillants comme fiables et transmis au système, ce qui finit par compromettre sa sécurité.

« Les clés de signature pour fw [firmware] image permettent à un attaquant de créer des mises à jour de micrologiciels malveillants et peuvent être fournies via des processus de mise à jour du BIOS normaux avec des outils de mise à jour MSI », a déclaré le PDG de Binarly, Alex Matrosov, à PCMag.

MSI a répondu à ses clients d’éviter de télécharger le firmware UEFI/BIOS à partir de n’importe quel endroit, à l’exception de ses propres sites Web officiels, où la version appropriée sera disponible sans aucune crainte d’être compromise. De plus, étant donné que ces fichiers ont été rendus publics au cours des deux derniers jours, il est très probable qu’un certain nombre de micrologiciels UEFI/BIOS flottent déjà dans diverses sections du Web avec du code malveillant.

Il semble que cette fuite affecte non seulement la technologie Intel Boot Guard, mais tous les mécanismes basés sur la signature OEM dans CSME, tels que le déverrouillage OEM (Orange Unlock), le firmware ISH, SMIP et autres… https://t.co/Eptmbo6cci

– Mark Ermolov (@_markel___) 5 mai 2023

Selon Alex Matrosov, le PDG de BINARLY, la fuite est confirmée pour inclure les clés privées d’Intel pour les appareils OEM. De plus, le BootGuard peut ne pas être aussi efficace sur les appareils basés sur les plates-formes Tiger Lake de 11e génération, Alder Lake de 12e génération et Raptor Lake de 13e génération. La fuite affecte également tous les mécanismes basés sur la signature OEM au sein de CSME (Converged Security and Management Engine), comme l’a déclaré Alex. Intel et ses partenaires constructeurs qui sont touchés par cette fuite doivent commenter la manière dont ils prévoient de s’attaquer à cette faille de sécurité majeure qui s’est produite lors de cette brèche.

Retrouvez, la vidéo d’un de nos confrères hardware de la semaine :