Intel CPU

インテルは、インテル ブート ガード セキュリティ機能で使用されている疑いのある秘密鍵の漏洩を調査しており、MSI デバイスでの悪意のある UEFI ファームウェアのインストールをブロックする機能に影響を与える可能性があります。

3 月には、Money Message 恐喝ギャングがコンピューター ハードウェア make MSI を攻撃し、攻撃中にファームウェア、ソース コード、データベースを含む 1.5 TB のデータを盗んだと主張しました。

によって最初に報告されたように、ランサムウェア ギャングは 4,000,000 ドルの身代金を要求し、支払われなかった後、データ リーク サイトで MSI のデータをリークし始めました。

先週、脅威アクターは、MSI のマザーボードで使用されるファームウェアのソース コードを含む、MSI の盗んだデータを漏らし始めました。

マネーメッセージの情報漏えいサイトでMSIのソースコードが流出
マネーメッセージの情報漏えいサイトでMSIのソースコードが流出
ソース:

Intel Boot Guard が攻撃の影響を受ける

金曜日、ファームウェア サプライ チェーン セキュリティ プラットフォーム Binarly の CEO である Alex Matrosov 氏は、 流出したソース コードには 57 の MSI 製品のイメージ署名秘密鍵と 116 の MSI 製品の Intel Boot Guard 秘密鍵が含まれていると警告しました

「Intel はこれらの報告を認識しており、積極的に調査しています。Intel® BootGuard の MSI OEM 署名キーを含むデータに秘密署名キーが含まれているという研究者の主張がありました」と Intel はリークに関する質問に答えました。

「Intel BootGuard OEM キーはシステム メーカーによって生成されたものであり、Intel 署名キーではないことに注意してください。」

Matrosov 氏は、このリークが原因で、「11th Tiger Lake、12th Adler Lake、および 13th Raptor Lake」CPU を使用する MSI デバイスで Intel Boot Guard が有効にならない可能性があると述べています。

「インテルのエコシステム全体がこのMSIデータ侵害の影響を受けているという証拠があります。これはMSIの顧客にとって直接的な脅威であり、残念ながら彼らだけではありません」とMatrosov氏は金曜日の午後に語った.

「fw イメージの署名キーにより、攻撃者は悪意のあるファームウェア アップデートを作成することができ、MSI アップデート ツールを使用した通常の BIOS アップデート プロセスを通じて配信できます。」

「Intel Boot Guard キーのリークは、エコシステム全体 (MSI だけでなく) に影響を与え、このセキュリティ機能を役に立たなくします。」

Intel Boot Guard は、最新の Intel ハードウェアに組み込まれているセキュリティ機能であり、UEFI ブートキットとして知られる悪意のあるファームウェアのロードを防止するように設計されています。これは、Windows UEFI セキュア ブートの要件を満たすために使用される重要な機能です。

これは、悪意のあるファームウェアがオペレーティング システムの前に読み込まれるため、カーネルやセキュリティ ソフトウェアからその活動を隠し、オペレーティング システムの再インストール後も存続し、侵害されたデバイスにマルウェアをインストールするのに役立つためです。

悪意のあるファームウェアから保護するために、インテル ブート ガードは、インテル ハードウェアに組み込まれた公開鍵を使用して、ファームウェア イメージが正当な秘密署名鍵を使用して署名されているかどうかを確認します。

ファームウェアが正当に署名されていることを確認できる場合、Intel Boot Guard はそれをデバイスにロードすることを許可します。ただし、署名が失敗した場合、ファームウェアはロードできません。

Intel BootGuard キーの漏洩に関するバイナリ アドバイザリ
Intel Boot Guard キーの漏えいに関するバイナリ アドバイザリ
出典:バイナリー

このリークの最大の問題は、リークされたキーを使用して署名されたファームウェアを検証するために使用される公開キーが、Intel ハードウェアに組み込まれていると考えられていることです。それらを変更できない場合、漏えいしたキーを使用するデバイスではセキュリティ機能が信頼できなくなります。

「マニフェスト (KM) とブート ポリシー マニフェスト (BPM) の秘密鍵は、漏洩した MSI ソース コードで見つかりました。これらの鍵は、ファームウェア イメージの検証をハードウェア ルート オブ トラストで提供するブート ガード テクノロジに使用されます」と Binarly はアドバイザリで警告しています。 ツイッターでシェア。

「KM マネージャーからのハッシュ OEM ルート RSA 公開鍵は、チップセットのフィールド プログラマブル (FPF) にプログラムされます。KM の主な目的は、BPM からの RSA 公開鍵のハッシュを保存することです。これには、ブートに関する情報が含まれます。ポリシー、初期ブート ブロック (IBB) の説明、およびそのハッシュです。」

「言及された鍵の漏洩した秘密部分により、潜在的な攻撃者がこのデバイスの変更されたファームウェアに署名できるようになり、Intel Boot Guard の検証に合格して、このテクノロジーが完全に無効になります。」

これらのキーはほとんどの攻撃者にとって役に立たない可能性がありますが、熟練した攻撃者の中には、 CosmicStrandBlackLotus UEFI マルウェアなどの悪意のあるファームウェアを攻撃に使用したことがある人もいます。

「機能が侵害される可能性があり、攻撃者は Intel Boot Guard を気にせずに、影響を受けるデバイスで悪意のあるファームウェアの更新を作成できます」と Matrosov 氏は、

Binarly は、影響を受ける MSI ハードウェアのリストを公開しました。このリストには、漏洩した Intel Boot Guard キーによって侵害されたと報告されている 116 の MSI デバイスが含まれます。

また、MSI と Intel に問い合わせてさらに質問しましたが、すぐには回答が得られませんでした。

2023 年 5 月 8 日更新: インテルの声明を追加