Siber suçlular yaklaşık bir ay önce MSI sistemlerine girdikten sonra, BT güvenlik şirketi Binarly’den araştırmacılar, MSI sabit yazılımını imzalamak için onlarca özel anahtar ve yüzlerce MSI ürününü etkileyen dört Intel Önyükleme anahtarı buldu. Saldırganlar, etkilenen sistemler için manipüle edilmiş ürün yazılımı yayınlayabilir ve böylece sistemleri tamamen tehlikeye atabilir.
Binarly CEO’su Alex Matrosov bulgulara sahip Twitter’da bildirildi. Şöyle yazıyor: “Intel OEM özel anahtarlarının sızdırıldığı ve tüm ekosistemi etkilediği doğrulandı. Görünüşe göre Intel Bootguard, 11’e güncellenen bazı cihazlarda etkisiz. [Generation] Kaplan Gölü, 12. [Generation] Kızılağaç Gölü ve 13. [Generation] Raptor Gölü merkezli”. Ancak soruşturmalar halen devam etmekteydi. İkili tweet ipuçlarıdiğer cihaz üreticilerinin de etkilenebileceğini ve Intel, Lenovo, Supermicro “ve sektör çapındaki diğer pek çok kişinin” adlandırılabileceğini söyledi.
MSI: Sızan özel anahtarlar
Siber suçlular, sızan aygıt yazılımı imzalayan özel anahtarlarla, kötü amaçlı eklemelerle kendi aygıt yazılımlarını oluşturabilir ve orijinal MSI aygıt yazılımı olarak kabul edilmesi için imzalayabilir. Intel Bootguard anahtarları, bir sistem önyüklendiğinde yalnızca doğrulanmış kodun yüklenmesini sağlamak için kullanılır. Bunun amacı, UEFI Güvenli Önyüklemenin bir parçası olarak donanım tabanlı bütünlük sağlamaktır.
Binarly bir Github projesi açtı ve orada bulunan ve etkilenen sistemlerin anahtarlarını topluyor. Rapor sırasında BT güvenlik araştırmacıları, 57 MSI ürününü etkileyen 27 özel üretici yazılımı imzalama anahtarı buldu. Ayrıca 116 MSI ürününde kullanılan dört özel Intel Bootguard anahtarı vardır.
Siber suçlular, güvenlik mekanizmaları tarafından güvenilir olarak sınıflandırılan ürün yazılımı oluşturmak için sızdırılan anahtarları kullanabilecekleri için MSI, Nisan ayı başındaki siber saldırıdan sonra haklı olarak, ürün yazılımı ve BIOS güncellemelerinin yalnızca resmi web sitesinden indirilmesi gerektiği konusunda uyarıda bulundu. O sırada hırsızların, MSI fidye ödemediği takdirde çalınan BIOS dosyaları, ERP veritabanı, özel anahtarlar ve kaynak kodu gibi verileri yayınlamakla tehdit ettikleri söyleniyor. Görünüşe göre bu tehdidi gerçekleştirmişler.
(dmk)
Haberin Sonu
Binarly CEO’su Alex Matrosov bulgulara sahip Twitter’da bildirildi. Şöyle yazıyor: “Intel OEM özel anahtarlarının sızdırıldığı ve tüm ekosistemi etkilediği doğrulandı. Görünüşe göre Intel Bootguard, 11’e güncellenen bazı cihazlarda etkisiz. [Generation] Kaplan Gölü, 12. [Generation] Kızılağaç Gölü ve 13. [Generation] Raptor Gölü merkezli”. Ancak soruşturmalar halen devam etmekteydi. İkili tweet ipuçlarıdiğer cihaz üreticilerinin de etkilenebileceğini ve Intel, Lenovo, Supermicro “ve sektör çapındaki diğer pek çok kişinin” adlandırılabileceğini söyledi.
MSI: Sızan özel anahtarlar
Siber suçlular, sızan aygıt yazılımı imzalayan özel anahtarlarla, kötü amaçlı eklemelerle kendi aygıt yazılımlarını oluşturabilir ve orijinal MSI aygıt yazılımı olarak kabul edilmesi için imzalayabilir. Intel Bootguard anahtarları, bir sistem önyüklendiğinde yalnızca doğrulanmış kodun yüklenmesini sağlamak için kullanılır. Bunun amacı, UEFI Güvenli Önyüklemenin bir parçası olarak donanım tabanlı bütünlük sağlamaktır.
Binarly bir Github projesi açtı ve orada bulunan ve etkilenen sistemlerin anahtarlarını topluyor. Rapor sırasında BT güvenlik araştırmacıları, 57 MSI ürününü etkileyen 27 özel üretici yazılımı imzalama anahtarı buldu. Ayrıca 116 MSI ürününde kullanılan dört özel Intel Bootguard anahtarı vardır.
Siber suçlular, güvenlik mekanizmaları tarafından güvenilir olarak sınıflandırılan ürün yazılımı oluşturmak için sızdırılan anahtarları kullanabilecekleri için MSI, Nisan ayı başındaki siber saldırıdan sonra haklı olarak, ürün yazılımı ve BIOS güncellemelerinin yalnızca resmi web sitesinden indirilmesi gerektiği konusunda uyarıda bulundu. O sırada hırsızların, MSI fidye ödemediği takdirde çalınan BIOS dosyaları, ERP veritabanı, özel anahtarlar ve kaynak kodu gibi verileri yayınlamakla tehdit ettikleri söyleniyor. Görünüşe göre bu tehdidi gerçekleştirmişler.
(dmk)
Haberin Sonu