Geçen ayki önemli MSI hack’i sırasında çalınan dosyalar, karanlık ağ çevresinde çoğalmaya başladı. Dijital ganimetler arasında tespit edilen en endişe verici şeylerden biri de Intel OEM özel anahtarıdır. MSI, Intel Boot Guard doğrulama kontrollerini geçmek için ürün yazılımı/BIOS güncellemelerini imzalamak için bunu kullanırdı. Artık bilgisayar korsanları, tamamen resmi MSI sürümleri gibi görünecek olan kötü amaçlı BIOS, ürün yazılımı ve uygulamaları imzalamak için anahtarı kullanabilir.
Geçen ay saldırıya uğramasının ardından MSI, müşterileri teşvik etmek üretici yazılımı/BIOS güncellemelerini yalnızca resmi web sitesinden temin etmek için. Tanınmış PC’ler, bileşenler ve çevre birimleri firması, Money Message adlı bir fidye yazılımı grubu tarafından gasp ediliyordu. Görünüşe göre gaspçılar, çeşitli kaynak kodu dosyaları, özel anahtarlar ve ürün yazılımı geliştirmek için araçlar dahil olmak üzere 1,5 TB veriyi çalmışlar. Raporlar, Money Message’ın verilerin tamamını MSI’a iade etmek için dört milyon dolardan fazla istediğini söyledi. Bir aydan fazla zaman geçti ve görünüşe göre MSI ödeme yapmadı. Bu nedenle, şimdi serpinti görüyoruz.
Intel Önyükleme Koruması, PC’lerin önyüklemeden önce yalnızca doğrulanmış uygulamaları çalıştırabilmesini sağlar. İçinde Beyaz kağıt “İşletim sistemi güvenliğinin altında” (PDF) hakkında Intel, BIOS Guard, Boot Guard ve Firmware Guard teknolojilerinden gururla bahsediyor. Önyükleme Koruması, “UEFI Güvenli Önyükleme için Microsoft Windows gereksinimlerini karşılayan, donanım tabanlı önyükleme bütünlüğünün temel bir öğesidir.” Ne yazık ki, artık çok çeşitli MSI sistemleri için yararlı bir ‘koruyucu’ olmayacak.
tarafından yayınlanan Tweetler ikili olarak (bir tedarik zinciri güvenlik platformu) ve kurucusu Alex Matrosov, bu Boot Guard anahtarları sızıntısının ve MSI nakliyesindeki diğer verilerin sunduğu tehlikeleri düzgün bir şekilde dile getiriyor. Güvenlik uzmanı, Intel, Lenovo, Supermicro ve diğerleri dahil olmak üzere diğer cihaz satıcılarının MSI’ın sızıntısından etkileneceğini öne sürüyor. Binarly tarafından bağlanan bir GitHub sayfası, donanım yazılımı anahtarlarının sızdırıldığı 57 MSI PC sistemini ve Intel Boot Guard BPM/KM anahtarlarının sızdırıldığı 166 sistemi listeler.
Etkilenen makinelerin listesine bakmak isterseniz Sword, Stealth, Creator, Prestige, Modern, Cyborg, Raider, Titan gibi tüm tanıdık MSI serilerini göreceksiniz. Intel Core 11. Nesil Tiger Lake CPU’lara veya daha yenisine sahip bu sistemlerin sahipleri, yalnızca MSI sitesindeki güncellemelere sıkı sıkıya bağlı kalmalıdır.
Önyükleme Koruması endişelerine ek olarak, bilgisayar korsanlarının kullanıcıları sahte bir MSI sitesine yönlendirmeye veya sahte MSI uygulamaları indirmeye çalışması mümkündür. Bu uygulamalar artık imzalanabilir ve gerçekten MSI’danmış gibi görünecek, dolayısıyla AV’nizi tetiklemeden çalıştırılabilir.
Bu sızıntı kesinlikle ortalığı karıştırdı ve sızdırılan anahtarların iptal edilip edilemeyeceği veya ilgili tarafların bir sonraki adımlarının ne olacağı net değil. Bu yazıyı yazarken, şu anda halka açılan dosyalarla ilgili olarak MSI veya Intel’den herhangi bir resmi tepki görmedik. Artık kötü amaçlı yazılım bulaşmış olabileceğinden, çalınan dosyaları karanlık ağda veya diğer kaynaklarda kontrol etmekten lütfen kaçının.
