Blog

Mar 22, 2023

La fuga de claves Intel Boot Guard podría tener repercusiones en la seguridad durante años

La posible filtración de MSI Gaming de claves de firma para una seguridad importante

La posible fuga de MSI Gaming de claves de firma para una característica de seguridad importante en el firmware basado en Intel podría ensombrecer la seguridad del firmware en los próximos años y dejar a los dispositivos que usan las claves altamente vulnerables a los ataques cibernéticos, dicen los expertos en seguridad.

Intel todavía está "investigando activamente" una supuesta fuga de claves privadas de Intel Boot Guard para 116 productos MSI, dijo la compañía a Dark Reading. La investigación se produce después de una afirmación de Alex Matrosov, director ejecutivo de la plataforma de seguridad de la cadena de suministro de firmware Binarly, de que el código fuente filtrado de un ciberataque de marzo de 2023 en MSI incluye estos datos, así como claves privadas de firma de imágenes para 57 productos MSI.

"Confirmado, la clave privada OEM de Intel se filtró, causando un impacto en todo el ecosistema. Parece que Intel BootGuard puede no ser efectivo en ciertos dispositivos basados ​​en los procesadores 11th Tiger Lake, 12th Adler Lake y 13th Raptor Lake", tuiteó.

La supuesta filtración se produce aproximadamente un mes después de que una pandilla emergente de ransomware rastreada como "Mensaje de dinero" golpeara a MSI con sede en Taiwán con un ataque de ransomware de doble extorsión, afirmando haber robado 1,5 TB de datos durante el ataque, incluido el firmware, el código fuente y las bases de datos. .

Cuando no se pagó el rescate de $4 millones que exigió el grupo, los atacantes comenzaron a publicar los datos robados en el ataque en su sitio de filtración. La semana pasada, los datos robados de MSI, incluido el código fuente del firmware utilizado por las placas base de la empresa, aparecieron en ese sitio.

Intel Boot Guard es una tecnología de seguridad basada en hardware destinada a proteger las computadoras contra la ejecución de firmware de interfaz de firmware extensible unificada (UEFI) manipulado y no original, "lo que podría suceder en caso de que un posible atacante haya omitido la protección contra la modificación del BIOS". Binarly efiXplorer Team explicó en una publicación de blog publicada en noviembre pasado.

Esa publicación se produjo en respuesta a una filtración de octubre de UEFI BIOS de Alder Lake, el nombre en clave de Intel para su último procesador, así como los pares de claves requeridos por Boot Guard durante la etapa de aprovisionamiento.

Si los actores de amenazas se apoderan de las claves de firma Intel Boot Guard relacionadas con MSI, podrían cargar firmware vulnerable en los dispositivos afectados, que incluyen placas base MSI, que parecen estar firmados por el proveedor y, por lo tanto, son legítimos.

Además, el BIOS se ejecuta incluso antes que el sistema operativo de un dispositivo, lo que significa que el código vulnerable está presente en el nivel más básico del dispositivo y, por lo tanto, es difícil parchearlo o defenderse, lo que complica aún más el escenario, señala un experto en seguridad.

"Debido a la naturaleza de cómo se integran y usan estas claves, el consejo habitual de instalar parches de seguridad puede no ser posible", dijo Darren Guccione, director ejecutivo y cofundador de la empresa de software de ciberseguridad Keeper Security, en un correo electrónico a Dark Reading.

Para remediar el problema, los equipos de seguridad potencialmente tendrían que implementar "controles no estándar para monitorear las infracciones si el malware comienza a usar estas claves", señala. "Sin una solución de seguridad simple, esto podría ser un vector de ataque dañino a largo plazo", dice Guccione.

Futuros problemas de firmware

De hecho, el largo plazo es lo que preocupa a los expertos en seguridad sobre la filtración. Dicen que es probable que los actores de amenazas se abalanzaran sobre la disponibilidad de las claves de firma de Intel Boot Guard, presentando un importante problema de seguridad de firmware en los próximos años.

"Robar claves de firma, especialmente para algo que solo se puede actualizar en el firmware (lo que significa que pocas personas lo harán), generalmente implica una larga cola de incidentes años después de la divulgación", advirtió John Bambenek, principal cazador de amenazas de Netenrich, una empresa de seguridad. y empresa de análisis de operaciones SaaS.

Su comentario trae a colación un buen punto: la vulnerabilidad inherente del firmware obsoleto del dispositivo, que a menudo se pasa por alto en los ciclos de aplicación de parches y, por lo tanto, si es vulnerable, representa una superficie de ataque grande y peligrosa, señala Matt Mullins, investigador principal de seguridad de Cybrary.

"Teniendo en cuenta que la mayoría de las personas no aplican parches a UEFI o firmware en general, las personas afectadas probablemente no sabrán cómo parchear estos dispositivos de manera adecuada", dice. "El acceso proporcionado a los actores maliciosos con respecto a esto es, en cierto modo, peor que obtener un SISTEMA o un shell raíz".

Esto se debe a que con el acceso a las claves de firma, las protecciones del sistema, como las firmas de los controladores o las detecciones de actividad maliciosa a nivel de kernel o inferior, "en esencia serán nulas porque el bootkit malicioso puede cargarse antes o por debajo de eso", dice Mullins.

"Al cargar por debajo de eso, puede secuestrar o eludir procesos importantes asociados con la integridad del dispositivo (como las operaciones de E/S) y volverse permanente de manera efectiva sin el flash adecuado y la recarga del firmware", dice.

Si bien la situación puede parecer grave, un experto en seguridad trató de calmar los temores que surgieron sobre la noticia de la filtración al señalar que la amenaza general para los dispositivos MSI afectados "es relativamente baja debido a los pasos que tendría que seguir un actor de amenazas" para explotar las claves.

"Como contraste, considere los dispositivos IoT/OT que a menudo carecen de firmas digitales para el firmware y existen en una escala mucho más alta que los dispositivos MSI", dice Bud Broomhead, director ejecutivo de Viakoo, un proveedor de higiene cibernética automatizada de IoT.

Dicho esto, hay formas de mitigar o defenderse contra cualquier riesgo del incidente, dicen los expertos.

Un buen comienzo es asegurarse de tener un proceso confiable para todos los activos digitales, incluido IoT/OT, dice Broomhead. Mientras tanto, el uso de otras formas de protección, como la supervisión y el control de acceso a la red, debería ayudar a evitar que la explotación de las claves filtradas "provoque una explotación mucho mayor", añade.

La última filtración también debería servir como un recordatorio para las organizaciones de que el firmware y otras claves privadas deben mantenerse separadas del código tanto como sea posible para mitigar el riesgo de robo, señala Bambenek.

Otras mitigaciones que las organizaciones pueden tomar para defenderse contra los ataques de firmware incluyen la aplicación obvia de parches, aunque a menudo se pasa por alto, "es principalmente la mejor defensa contra este posible ataque futuro", dice Mullins.