UPDATE: Private keys van hard- en softwareleverancier MSI gelekt
Op 7 april heeft hard- en softwareleverancier MSI bekendgemaakt slachtoffer te zijn geworden van een ransomware aanval. Hierbij zijn private keys buitgemaakt, waaronder Intel Boot Guard-keys. In dit bericht geven we een update van het incident en de mogelijke impact voor uw organisatie.
Achtergrond
- Beveiligingsbedrijf Binarly meldt dat ten gevolge van een ransomware-aanval op MSI private keys zijn gelekt. Deze private keys worden gebruikt voor het digitaal ondertekenen van firmware van moederborden en het verifiëren van deze firmware door Intel Boot Guard.
- Intel Boot Guard verifieert tijdens het opstartproces van een systeem of de firmware van het moederbord is ondertekend door de leverancier. Het doel hiervan is om te voorkomen dat een kwaadwillende malafide firmware uitvoert en zodoende vergaande toegang krijgt tot het systeem.
- De gelekte private keys ondermijnen de Intel Boot Guard-functionaliteit doordat een kwaadwillende met (in beginsel lokale) toegang tot een kwetsbaar systeem de private keys kan misbruiken voor het installeren en uitvoeren van malafide firmware. De kwaadwillende krijgt hiermee bijvoorbeeld toegang tot gegevens die op het systeem staan opgeslagen of de verkregen toegang kan worden gebruikt voor het uitvoeren van verdere aanvallen.
Feiten
- Navraag bij chipfabrikant Intel wijst uit dat de gelekte Intel Boot Guard-keys van MSI zelf zijn en specifiek voor MSI-systemen worden gebruikt. Misbruik van de keys is daardoor beperkt tot aanvallen op systemen en moederborden die door MSI worden geleverd.
- Het is mogelijk dat moederborden van MSI zijn verwerkt in producten van andere leveranciers. Beveiligingsbedrijf Binarly heeft een (beperkte) lijst met potentieel getroffen producten gepubliceerd. [1][2] Deze lijst is indicatief en niet door het NCSC geverifieerd.
Duiding en handelingsperspectief
- Succesvol misbruik is technisch complex en vereist in beginsel lokale toegang tot een kwetsbaar systeem. Het NCSC acht de kans op misbruik daarom klein. Het is desalniettemin niet ondenkbaar dat de gelekte keys in gerichte aanvallen kunnen worden misbruikt.
- Bij het NCSC zijn geen signalen over misbruik van de gelekte keys bekend.
- Organisaties die gebruik maken van MSI-systemen of producten die op de lijst van Binarly staan, worden geadviseerd contact op te nemen met hun leverancier voor meer informatie en handelingsperspectief.
- Meer technische informatie over dit incident en algemeen handelingsperspectief is te vinden in beveiligingsadvies NCSC-2023-0235 op de website van het NCSC.
Het NCSC houdt de situatie, in samenwerking met partners, nauwlettend in de gaten. Deze pagina wordt geupdatet wanneer er meer informatie of aanvullend handelingsperspectief beschikbaar is.
[1] https://github.com/binarly-io/SupplyChainAttacks/blob/main/MSI/MsiImpactedDevices.md
[2] https://github.com/binarly-io/SupplyChainAttacks/blob/main/MSI/IntelOemKeyImpactedDevices.md