MSI-Hack: Intel Bootguard- und Firmware-Signatur-SchlĂĽssel in freier Wildbahn
KĂĽrzlich haben sich Einbrecher Zugang zu MSI-Systemen verschafft. Jetzt sind private SchlĂĽssel fĂĽr Intel Bootguard und zum Signieren von Firmware aufgetaucht.
Nachdem Cyberkriminelle vor rund einem Monat in Systeme von MSI eingebrochen sind, haben Forscher des IT-Sicherheitsunternehmens Binarly zig private Schlüssel zum Signieren von MSI-Firmware sowie vier Intel Bootguard-Schlüssel in freier Wildbahn gefunden, die hunderte MSI-Produkte betreffen. Für die betroffenen Systeme könnten Angreifer manipulierte Firmware veröffentlichen und damit Systeme vollständig kompromittieren.
Der CEO von Binarly, Alex Matrosov, hat die Funde auf Twitter gemeldet. Er schreibt: "Bestätigt, private Intel OEM-Schlüssel sind durchgesickert, was Auswirkungen auf das gesamte Ökosystem hat. Es scheint, dass Intel Bootguard auf bestimmten Geräten unwirksam ist, die auf 11. [Generation] Tiger Lake, 12. [Generation] Alder Lake und 13. [Generation] Raptor Lake basieren". Die Untersuchungen dauerten jedoch noch an. In einem vorherigen Tweet deutet Binarly an, dass auch andere Gerätehersteller in Mitleidenschaft gezogen sein könnten und nennt Intel, Lenovo, Supermicro "und viele andere industrieweit".
MSI: Geleakte private SchlĂĽssel
Mit den aufgetauchten privaten Schlüsseln zum Signieren von Firmware könnten Cyberkriminelle eigene Firmware mit bösartigen Ergänzungen erstellen und signieren, sodass sie als echte MSI-Firmware akzeptiert würde. Die Intel Bootguard-Schlüssel dienen dazu, dass beim Starten eines Systems nur verifizierter Code geladen wird. Damit soll sich hardwarebasierte Integrität sicherstellen lassen, als Teil von UEFI Secure Boot.
Binarly hat ein Github-Projekt eröffnet und sammelt dort die gefundenen Schlüssel sowie betroffene Systeme. Zum Meldungszeitpunkt haben die IT-Sicherheitsforscher 27 private Firmware-Signing-Keys gefunden, die 57 MSI-Produkte betreffen. Außerdem liegen dort vier private Intel Bootguard-Schlüssel, die bei 116 MSI-Produkten zum Einsatz kommen.
Da Cyberkriminelle mit den aufgetauchten Schlüsseln als von den Sicherheitsmechanismen vertrauenswürdig eingestufte Firmware erstellen können, hat MSI nach dem Cyber-Einbruch Anfang April mit Fug und Recht gewarnt, dass Firmware- und BIOS-Updates ausschließlich von der offiziellen Webseite heruntergeladen werden sollten. Damals sollen die Einbrecher damit gedroht haben, die ergaunerten Daten wie BIOS-Dateien, ERP-Datenbank, private Schlüssel sowie Sourcecode zu veröffentlichen, sollte MSI kein Lösegeld zahlen. Diese Drohung haben sie offenbar wahr gemacht.
Intel hat heute eine Stellungnahme dazu verschickt. Darin heiĂźt es: "Intel ist sich dieser Berichte bewusst und untersucht sie aktiv. Es gibt Behauptungen von Forschern, dass private SignierschlĂĽssel in den Daten enthalten sind, einschlieĂźlich MSI OEM SignierschlĂĽssel fĂĽr Intels Bootguard. Es sollte beachtet werden, dass die OEM-SchlĂĽssel fĂĽr Intel Bootguard vom Systemhersteller generiert werden und es sich dabei nicht um Intel-SignierschlĂĽssel handelt."
(dmk)