Les acteurs de la menace à l’origine de l’attaque par rançongiciel contre le fabricant de PC taïwanais MSI le mois dernier ont divulgué les clés de signature de code privées de l’entreprise sur leur site Web sombre.
« Confirmé, la fuite de la clé privée Intel OEM a eu un impact sur l’ensemble de l’écosystème », a déclaré Alex Matrosov, fondateur et PDG de la société de sécurité des micrologiciels Binarly, a dit dans un tweet ce week-end.
« Il semble qu’Intel Boot Guard ne soit pas efficace sur certains appareils basés sur le 11e lac Tiger, le 12e lac Adler et le 13e lac Raptor. »
Les données divulguées contiennent des clés de signature d’image de micrologiciel associées à 57 PC et des clés de signature privées pour Intel Boot Guard utilisées sur 116 produits MSI. On pense que les clés Boot Guard de MSI ont un impact sur plusieurs fournisseurs d’appareils, notamment Intel, Lenovo et Supermicro.
Intel Boot Guard est un technologie de sécurité basée sur le matériel qui est conçu pour protéger les ordinateurs contre l’exécution d’un micrologiciel UEFI falsifié.
Le développement intervient un mois après que MSI a été victime d’une double attaque de ransomware d’extorsion perpétrée par un nouveau gang de ransomware connu sous le nom de Money Message.
MSI, dans un dossier réglementaire à l’époque, a déclaré que « les systèmes concernés ont progressivement repris leurs activités normales, sans impact significatif sur les activités financières ». Cependant, il a exhorté les utilisateurs à obtenir les mises à jour du micrologiciel/BIOS uniquement à partir de son site Web officiel et à s’abstenir de télécharger des fichiers à partir d’autres sources.
La fuite des clés pose des risques importants, car les acteurs de la menace pourraient les utiliser pour signer des mises à jour malveillantes et d’autres charges utiles et les déployer sur des systèmes ciblés sans déclencher de signal d’alarme.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
Il fait également suite à un autre avis de MSI recommander aux utilisateurs d’être à l’affût des e-mails frauduleux ciblant la communauté des joueurs en ligne qui prétendent provenir de l’entreprise sous prétexte d’une éventuelle collaboration.
Ce n’est pas la première fois que le code du firmware UEFI entre dans le domaine public. En octobre 2022, Intel reconnu la fuite du code source du BIOS Alder Lake par un tiers, qui comprenait également la clé de signature privée utilisée pour Boot Guard.
