.
A Intel está investigando relatos de que chaves privadas BootGuard, usadas para proteger PCs de malware oculto, vazaram quando dados pertencentes à Micro-Star International (MSI) foram roubados e despejados online.
Entende-se que as chaves privadas foram geradas pela MSI para usar com a tecnologia BootGuard da Intel e estavam entre o código-fonte interno e outros materiais retirados dos sistemas de TI do fabricante de peças de computador no mês passado – pelo menos alguns dos quais já foram compartilhados na Internet.
PCs com chips Intel e proteção BootGuard habilitada e configurada irão, normalmente e de modo geral, executar firmware apenas se for assinado digitalmente usando chaves como as vazadas do MSI. Esse firmware inicia o sistema operacional – um processo descrito pela Intel aqui [PDF] e necessário para atender aos requisitos de inicialização segura do Windows.
Se o firmware não estiver corretamente assinado digitalmente, pode ser porque alguém tentou subverter o código para inserir algum spyware não autorizado abaixo do sistema operacional, fora da vista de antivírus e outras ferramentas de defesa. Idealmente, você deseja que o BootGuard evite que esse firmware estranho seja iniciado.
Se alguém tiver essas chaves privadas do BootGuard, poderá assinar seu malware para que o código seja confiável e executado por computadores MSI em vez de bloqueado. Na verdade, o vazamento dessas chaves dificulta a capacidade dos computadores MSI de usar o BootGuard da Intel para bloquear firmware ruim, indesejado ou malicioso, o que não é ótimo.
As chaves privadas vazadas afetam 116 produtos, de acordo com o CEO da Binarly, Alex Matrosov, cujo negócio de segurança estava entre aqueles sondagem a extensão do vazamento. Binarly compartilhou no GitHub um lista de produtos MSI, bem como outras chaves de assinatura de firmware, comprometidas pelo roubo de dados.
As chaves Intel BootGuard OEM são geradas pelo fabricante do sistema e não são chaves de assinatura da Intel
“A Intel está ciente desses relatórios e está investigando ativamente”, disse um porta-voz da Intel Strong The One na segunda-feira.
“Houve alegações de pesquisadores de que as chaves de assinatura privadas estão incluídas nos dados, incluindo as chaves de assinatura MSI OEM para Intel BootGuard. Deve-se observar que as chaves OEM Intel BootGuard são geradas pelo fabricante do sistema e não são chaves de assinatura Intel.”
Se os criminosos puderem ignorar a tecnologia BootGuard, eles poderão obter acesso total ao sistema, roubar dados confidenciais e realizar todos os tipos de atividades ilícitas sem serem notados, pois o malware é executado no sistema operacional e nos pacotes de antivírus.
A segurança do BootGuard é incorporada, com fusíveis de nível de silício nos chips – portanto, se essas chaves privadas vazarem, não há solução fácil em termos de revogação das chaves ou geração e uso de novos pares de chaves públicas-privadas para máquinas já existentes. Pelo que entendemos, o chipset tem a metade pública dessas chaves de assinatura de firmware emitidas pela MSI fixadas no lugar, e a metade privada vazou. Se for esse o caso, os sistemas de computador baseados em MSI em uso hoje correm o risco de criminosos usarem as chaves privadas para assinar o código que passará em todas as verificações.
No final de março, uma gangue de extorsão chamada Money Message MSI invadido e alegou que havia roubado 1,5 TB de dados. Isso, de acordo com o site obscuro dos criminosos, incluía bancos de dados CTMS e ERP da MSI, bem como código-fonte, chaves privadas e firmware do BIOS.
Os bandidos postaram capturas de tela para provar isso e ameaçaram liberar esses dados, a menos que a MSI pagasse um resgate de $ 4 milhões. Entende-se que pelo menos algumas dessas informações – como o código-fonte do firmware MSI e as chaves privadas do BootGuard – escaparam do site de vazamento dos extorsionários.
Na sexta-feira, Matrosov disse ele havia confirmado o vazamento da chave privada Intel OEM, “causando um impacto em todo o ecossistema”.
DDoS de aluguel whac-a-mole
Os federais também apreenderam 13 domínios da Internet que vendem ataques distribuídos de negação de serviço como parte do jogo contínuo do Departamento de Justiça de whac-a-mole com esses sites “booter” de ataque à rede.
O DOJ anunciou que quatro homens se declararam culpados no início deste ano de acusações federais relacionadas a seus papéis em sites booter – operando os sites ou participando dos serviços DDoS de aluguel. Os quatro são: Jeremiah Sam Evans Miller, 23, de San Antonio, Texas; Angel Manuel Colon Jr, 37, de Belleview, Flórida; Shamar Shattock, 19, de Margate, Flórida; e Cory Anthony Palmer, 23, de Lauderhill, Flórida.
Como monstros de filmes de terror, esses sites DDoS de aluguel não permanecem mortos por muito tempo. De fato, 10 dos 13 domínios anunciado hoje [PDF] são reencarnações de serviços que supostamente foram fechar em dezembrodurante uma apreensão judicial anterior.
“Alguns desses sites retornaram em um período de dias após a apreensão anterior e outros nas semanas seguintes”, disse o documentos judiciais [PDF] dizem, acrescentando que na maioria dos casos os novos domínios foram apenas “alterados superficialmente”. O CyberStress, por exemplo, foi apreendido como cyberstress.us e começou a operar como cyberstress.org.
O FBI disse que testou todos os 13 sites para verificar se eles estavam vendendo serviços de ataque DDoS – e aceitando pagamentos por eles. Também disse ao tribunal que, em todos os 13, as atividades ilegais cruzaram a fronteira dos EUA. Por exemplo: alguns tinham domínios registrados nos EUA, mas eram hospedados por uma empresa fora dos EUA ou associados a um processador de pagamentos fora dos EUA.
“Parece que o Intel BootGuard pode não ser eficaz em determinados [MSI] dispositivos baseados no 11º Lago Tiger, 12º Lago Adler e 13º Lago Raptor”, continuou Matrosov. “Nossa investigação está em andamento, fique atento às atualizações.”
Acredita-se que o vazamento possa afetar a Lenovo, a Supermicro “e muitas outras” no ecossistema da Intel, de acordo com a Binarly. Nem a Lenovo nem a Supermicro responderam a Strong The One‘s, mas atualizaremos esta história se e quando tivermos uma resposta desses fabricantes. ®
.
