O grupo de hackers Money Message facilitou a invasão de laptops MSI ao publicar chaves confidenciais de certificação de software para produtos do fabricante, anteriormente roubadas dos próprios servidores da MSI. Agora, os invasores podem infectar laptops sob o disfarce do BIOS oficial, e o sistema não perceberá o truque.
Fonte da imagem: Pete Linforth / pixabay.com
No mês passado, os servidores da MSI foram hackeados. Os invasores roubaram dados confidenciais e ameaçaram divulgá-los, a menos que a MSI pagasse um resgate de vários milhões de dólares. Aparentemente, a empresa não fez um acordo com os hackers, então o último publicou na quinta-feira vários dados proprietários do fabricante em seu site na dark web, incluindo chaves de autenticação para software de laptop MSI.
A empresa de segurança cibernética Binarly analisou os dados vazados pelos hackers e confirmou que continham, entre outras coisas, chaves BIOS para 57 dos modelos de laptop da empresa. A Binarly publicou uma lista de modelos de laptop afetados em sua página de repositório do GitHub.
Captura de tela com parte dos dados roubados. Fonte da imagem: PCMag
Essas chaves são importantes porque a MSI as utiliza para certificar as atualizações de seu software. Sem eles, o computador perceberá a atualização de software como não confiável e potencialmente maliciosa. Agora, essas chaves podem cair em mãos erradas e serem usadas para assinar códigos maliciosos, mas serão percebidas pelo sistema como oficiais do fabricante.
«As chaves de assinatura de software permitem que um invasor crie atualizações de firmware maliciosas que podem ser entregues ao sistema da vítima por meio de processos normais de atualização do BIOS usando ferramentas de atualização MSI”, comentou Alex Matrosov, CEO da Binarly, em uma conversa com a PCMag.
Usando as chaves, o malware pode acabar no computador do usuário por meio de sites falsos ou e-mails supostamente da MSI. No entanto, de acordo com Matrosov, o principal vetor de ataque neste caso será por meio de “download secundário” – depois que o malware estiver no computador da vítima por meio de um download do navegador ou ataque de phishing. A maioria dos sistemas antivírus, neste caso, simplesmente ignorará o malware no computador, pois considerará que ele é assinado pelo fabricante.
Outro problema é o vazamento de chaves do Intel Boot Guard, que fornece proteção de integridade de inicialização do BIOS baseada em hardware, monitora blocos de inicialização não autorizados e proíbe sua execução. De acordo com a Binarly, os dados MSI vazados contêm chaves Intel Boot Guard para 117 dos produtos da empresa. Note-se que a tecnologia Intel Boot Guard é usada em muitos segmentos.
«O vazamento de chaves Intel BootGuard afeta todo o ecossistema, não apenas os produtos MSI, e torna esse recurso de segurança inútil”, diz Matrosov. A MSI e a Intel não responderam ao pedido de comentários da PCMag.
Até agora, a MSI apenas aconselhou seus usuários a não baixar seu software de fontes não oficiais. De acordo com Matrosov, a MSI tem uma escolha muito limitada de possíveis soluções para este problema. “Parece-me que a MSI está numa situação muito difícil, porque para atualizar as chaves para novas chaves seguras, será necessário usar chaves antigas que foram roubadas. Não acho que a empresa tenha nenhum mecanismo para simplesmente revogar as chaves comprometidas”, acrescentou o especialista.