Les ordinateurs portables et les ordinateurs utilisant des puces Intel pourraient être menacés après une violation de données chez MSI qui a également entraîné une fuite des clés Intel Boot Guard.
En mars de cette année, MSI a été attaqué par le gang de rançongiciels Money Message qui prétend avoir volé 1,5 To de données, y compris le micrologiciel, le code source et les bases de données selon BipOrdinateur (s’ouvre dans un nouvel onglet). Le groupe cybercriminel a demandé une rançon de 4 millions de dollars à l’entreprise, mais lorsque MSI a refusé de payer, Money Message a commencé à divulguer toutes ces données volées sur son site de fuite de données.
Intel n’est qu’une des nombreuses entreprises touchées par la violation de données et ses clés Boot Guard ont maintenant été divulguées en ligne à la suite de l’attaque. À l’heure actuelle, l’étendue de la fuite est encore inconnue, mais elle pourrait entraîner de graves problèmes pour le fabricant de puces ainsi que pour les utilisateurs de ses produits.
Dans un publier sur Twitter, Alex Matrosov, fondateur et PDG de la plate-forme de sécurité Binarly, a révélé que des clés Intel Boot Guard pour 166 produits différents avaient été divulguées, ainsi que des clés de signature d’image FW pour 57 produits MSI. Outre Intel, Lenovo, Supermicro et plusieurs autres sociétés sont également confrontées aux retombées de la violation de données de MSI.
Contourner les fonctions de sécurité intégrées d’Intel
Pour ceux qui ne sont pas familiers, le Boot Guard d’Intel est une fonctionnalité de sécurité intégrée à son matériel qui est conçue pour empêcher les pirates de charger des micrologiciels malveillants dans l’interface UEFI (Unified Extensible Firmware Interface). Ce type de firmware malveillant est connu sous le nom de bootkits UEFI.
Avec ces clés Intel Boot Guard divulguées en main, les pirates pourraient être en mesure de créer des logiciels malveillants capables de contourner les fonctions de sécurité d’Intel selon GHacks (s’ouvre dans un nouvel onglet). Si cela se produit, le micrologiciel malveillant qui se charge avant le système d’exploitation sur une machine infectée pourrait cacher ses activités à la fois au noyau et aux logiciels de sécurité comme le meilleur logiciel antivirus. Pour aggraver les choses, même si un système d’exploitation est réinstallé, ce logiciel malveillant resterait persistant sur une machine affectée.
Dans une déclaration à BleepingComputer, un porte-parole d’Intel a fourni de plus amples informations sur la situation, en disant :
« Intel est au courant de ces rapports et enquête activement. Des chercheurs affirment que des clés de signature privées sont incluses dans les données, y compris les clés de signature OEM MSI pour Intel® BootGuard. Il convient de noter que les clés OEM Intel BootGuard sont générées par le fabricant du système. , et ce ne sont pas des clés de signature Intel. »
Pour le moment, les utilisateurs d’Intel ne peuvent pas faire grand-chose pour se protéger des menaces potentielles, mais nous mettrons à jour cette histoire une fois que nous en saurons plus.