De MSI-hack van april heeft geleid tot het verspreiden van Intel Boot Guard-keys op de dark web. Door het lek kunnen kwaadwillenden UEFI/BIOS-firmware creëren die voorbij een belangrijke security-laag op talloze pc’s komt.
Een ransomware-aanval leidde bij MSI in april tot het verlies van 1,5 terabyte aan gegevens, dat volgens de aanvallers ook broncode bevatte. De Taiwanese fabrikant van pc-onderdelen weigerde 4 miljoen dollar (3,6 miljoen euro) over te maken naar een ransomware-bende die zichzelf “Money Message” noemt. MSI raadde gebruikers na de aanval aan om alleen UEFI/BIOS-updates van de officiële website te downloaden. Niet zonder reden: nu blijken met de hack dus ook Intel Boot Guard-keys gestolen te zijn.
Deze keys werken als een ‘handtekening’ voor legitieme MSI-firmware. Ze dienen ervoor te zorgen dat de opstartprocedure van een Intel-systeem veilig verloopt en malware geen invloed op de UEFI/BIOS-firmware heeft. Het omzeilen hiervan geeft een gebruiker veel meer toegang dan alleen het overnemen van een Windows-systeem: zo zou het veel makkelijker zijn om met geknoeide firmware bij beveiligde data te komen. CEO van securitygroep Binarly Alex Matrosov stelt dat 116 MSI-producten gebruikmaken van de gelekte Intel Boot Guard-keys. De schade zou echter mogelijk groter kunnen worden.
Boot Guard, Secure Boot
Het is niet mogelijk om dit probleem weg te nemen, zelfs als elk potentieel kwetsbare apparaat gepatcht wordt. De reden hiervoor is dat de Intel-keys in de ACM-hardware op het moederbord ‘gebrandmerkt’ zijn, ze kunnen dus niet vervangen worden. Ook producten van andere fabrikanten dan MSI kunnen in gevaar komen, omdat ze dezelfde keys kunnen gebruiken.
De beveiliging van UEFI/BIOS kreeg met de lancering van Windows 11 extra maatschappelijke aandacht. Wie namelijk wilde upgraden naar het nieuwste Microsoft-besturingssysteem, moest Secure Boot inschakelen. Op die manier wilde de techgigant garanderen dat er alleen toegestane binaries op Windows-systemen konden draaien. Deze security-maatregel staat los van Intel Boot Guard, maar heeft net als bij de recente MSI-hack al keys op straat liggen. In 2016 publiceerde Microsoft per ongeluk een ‘golden key’-policy van Secure Boot, dat nooit helemaal gepatcht kon worden. Verschillende back-ups en apparaten zijn namelijk afhankelijk van deze policies.
Ook op de ransomware-hack bij MSI is kritiek te leveren. Hoe kan dermate gevoelige informatie ooit gestolen worden?
Wat is veilig?
Wat is dan wel veilig? We kunnen in ieder geval stellen dat hardware-gebaseerde keys altijd vatbaar zullen zijn voor een lek, hoe sterk beveiligd ook. Daarnaast is het onmogelijk om deze security-maatregel ‘on the fly’ nog te corrigeren op enige kwetsbaarheden. Een slot op basis van een hardware-oplossing lijkt uitermate veilig, maar kan in de praktijk niet als permanent betrouwbaar worden gezien tenzij bijna niemand toegang heeft tot de toegangscodes. Een security-key van deze soort kan dus alleen als extra ondersteuning functioneren, niet als de ultieme oplossing voor UEFI/BIOS-security.
Het advies voor gebruikers is dus voor de hand liggend: installeer geen onbetrouwbare firmware. Toch hebben cybercriminelen keer op keer bewezen dat er onoplettende slachtoffers te vinden zijn. Er zullen altijd mensen zijn die aangespoord kunnen worden om malware te installeren op hun systeem. Toch ligt de lat wat hoger bij een UEFI/BIOS-firmware. Immers zullen de meeste gebruikers een dergelijke update alleen in heel specifieke gevallen uitvoeren. De eerder genoemde upgrade naar Windows 11 kan een reden zijn, of het oplossen van bijvoorbeeld uitvallende USB-poorten dat bij eerdere AMD Ryzen-chips weleens gebeurde.
MSI en Intel hebben nog niet gereageerd op het lekken van de Boot Guard-keys. Volgens security-onderzoeker Mark Ermolov kunnen alle CSME-security-mechanismes van Intel door het lek geraakt zijn, waardoor Intel Boot Guard niet meer een effectieve beveiliging is voor Intel-processoren van de 11e, 12e en 13e generatie.
6 uur geleden
