Les fichiers volés lors du piratage substantiel de MSI le mois dernier ont commencé à proliférer sur le dark web. L’une des choses les plus inquiétantes repérées parmi le butin numérique est une clé privée Intel OEM. MSI aurait utilisé cela pour signer ses mises à jour de micrologiciel/BIOS afin de réussir les vérifications de vérification Intel Boot Guard. Désormais, les pirates peuvent utiliser la clé pour signer des BIOS, des micrologiciels et des applications malveillants, qui ressembleront entièrement aux versions officielles de MSI.
Après avoir été piraté le mois dernier, MSI a commencé à exhorter les clients à se procurer les mises à jour du micrologiciel/BIOS exclusivement à partir de son site Web officiel. La société bien connue de PC, de composants et de périphériques était extorquée par un groupe de rançongiciels appelé Money Message. Apparemment, les extorqueurs avaient volé 1,5 To de données, y compris divers fichiers de code source, des clés privées et des outils pour développer un micrologiciel. Les rapports indiquent que Money Message demandait plus de quatre millions de dollars pour renvoyer l’intégralité des données à MSI. Plus d’un mois s’est écoulé et il semble que MSI n’ait pas payé. Par conséquent, nous voyons maintenant les retombées.
Intel Boot Guard garantit que seuls les PC peuvent exécuter des applications vérifiées avant le démarrage. Dans un livre blanc sur la sécurité sous le système d’exploitation (PDF), Intel parle avec une certaine fierté de ses technologies BIOS Guard, Boot Guard et Firmware Guard. Boot Guard est un « élément clé de l’intégrité du démarrage basé sur le matériel qui répond aux exigences de Microsoft Windows pour le démarrage sécurisé UEFI ». Malheureusement, il ne sera plus un « garde » utile pour une large gamme de systèmes MSI.
Tweets publiés par binaire (une plate-forme de sécurité de la chaîne d’approvisionnement) et son fondateur Alex Matrosov, expliquent clairement les dangers présentés par cette fuite de clés Boot Guard et d’autres données dans le transport MSI. Le spécialiste de la sécurité suggère que d’autres fournisseurs d’appareils seront affectés par la fuite de MSI, notamment Intel, Lenovo, Supermicro et bien d’autres. Une page GitHub liée par Binarly répertorie les 57 systèmes PC MSI dont les clés de micrologiciel ont été divulguées et les 166 systèmes dont les clés Intel Boot Guard BPM/KM ont été divulguées.
Si vous souhaitez parcourir les listes des machines concernées, vous verrez toutes les séries MSI familières, telles que Sword, Stealth, Creator, Prestige, Modern, Cyborg, Raider, Titan. Les propriétaires de ces systèmes équipés de processeurs Intel Core 11e génération Tiger Lake ou plus récents devront respecter strictement les mises à jour du site MSI uniquement.
En plus des soucis de Boot Guard, il est possible que des pirates essaient d’hameçonner les utilisateurs pour qu’ils se dirigent vers un faux site MSI ou téléchargent de fausses applications MSI. Ces applications peuvent désormais être signées et sembleront réellement provenir de MSI, elles pourraient donc s’exécuter sans déclencher votre AV.
Cette fuite a certainement fait des dégâts, et il n’est pas clair si les clés divulguées peuvent être révoquées, ou quelles seront les prochaines étapes des parties impliquées. Au moment d’écrire ces lignes, nous n’avons vu aucune réaction officielle de MSI ou d’Intel concernant les fichiers qui sont maintenant rendus publics. Veuillez éviter de vérifier les fichiers volés sur le dark web ou d’autres sources, car ils pourraient maintenant contenir des logiciels malveillants.