Lors de l'attaque des systèmes d'information de MSI, les attaquants ont réussi à télécharger plus de 500 Go de données internes de l'entreprise, qui contiennent, entre autres, les codes sources des firmwares et les outils associés pour les assembler. Les auteurs ont exigé 4 millions de dollars pour non-divulgation, mais MSI a refusé et certaines des données ont été rendues publiques.
Parmi les données publiées figuraient les clés privées d'Intel transmises aux OEM, qui ont été utilisées pour signer numériquement le micrologiciel publié et pour fournir un démarrage sécurisé à l'aide de la technologie Intel Boot Guard. La présence de clés de vérification de micrologiciel permet de générer des signatures numériques correctes pour des micrologiciels fictifs ou modifiés. Les clés Boot Guard vous permettent de contourner le mécanisme de lancement des seuls composants vérifiés au stade du démarrage, ce qui peut être utilisé, par exemple, pour compromettre le mécanisme de démarrage vérifié UEFI Secure Boot.
Les clés d'assurance du micrologiciel affectent au moins 57 produits MSI et les clés Boot Guard affectent 166 produits MSI. Les clés Boot Guard ne sont pas censées se limiter à compromettre les produits MSI et peuvent également être utilisées pour attaquer des équipements d'autres fabricants utilisant des processeurs Intel de 11, 12 et 13 générations (par exemple, les cartes Intel, Lenovo et Supermicro sont mentionnées). En outre, les clés publiques peuvent être utilisées pour attaquer d'autres mécanismes de vérification à l'aide du contrôleur Intel CSME (Converged Security and Management Engine), tels que le déverrouillage OEM, le micrologiciel ISH (Integrated Sensor Hub) et SMIP (Signed Master Image Profile).
Source: opennet.ru