Un mois après le vol de données commis sur les serveurs de MSI par « Money Message », le groupe de pirates met ses menaces à exécution en publiant sur le Dark Web les clés de signature du code de l'entreprise.
Nous vous en parlions début avril, MSI a été victime d'une attaque relativement ambitieuse ayant permis à un groupe de pirates de s'emparer de certaines données sensibles du géant taïwanais. Ce dernier ayant refusé de payer la rançon de 4 millions de dollars demandée le mois dernier, les pirates du collectif « Money Message » ont mis cette semaine leurs menaces à exécution.
Des données MSI sensibles partagées sur le Dark Web
On apprend ainsi du site spécialisé TheHackerNews que les pirates ont partagé sur le Dark Web une partie des données saisies, et parmi elles certaines clés de signature détenues par l'entreprise. Une information confirmée ce week-end par Alex Matrosov, CEO de Binarly, une société de sécurité spécialisée dans les firmwares et autres microprogrammes.
« Confirmation de la fuite de la clé privée OEM Intel », a notamment commenté l'intéressé, ajoutant que cette divulgation aura un impact sur l'ensemble de l'écosystème. « Il semble que l'Intel Boot Guard ne soit pas efficace sur certains appareils équipés de processeurs de 11e génération Tiger Lake, 12e gen Adler Lake et 13e gen Raptor Lake », a-t-il poursuivi sur Twitter, en réponse à un tweet de Binarly indiquant que cette « fuite de clés Intel BootGuard [obtenues] chez MSI affecte de nombreux fournisseurs de périphériques, y compris Intel, Lenovo, SuperMicro et de nombreuses autres marques à travers l'industrie ».
Si SuperMicro a depuis indiqué (après analyse) ne pas être concerné, les données divulguées contiennent des clés de signature d'images de microprogrammes associées à pas moins de 57 PC, mais aussi, et comme évoqué plus haut, des clés de signature privées relatives au dispositif Intel Boot Guard et utilisées sur 116 produits MSI. Pour rappel, l'Intel Boot Guard garantit que les PC ne peuvent exécuter que des applications vérifiées lors du démarrage. En clair, il permet de protéger les ordinateurs contre l'exécution au démarrage de firmware UEFI ayant été préalablement falsifiés. Un système de sécurité désormais compromis.
Que faire à votre niveau ?
De son côté, MSI s'en tenait récemment à une déclaration optimiste concernant ses serveurs. « Les systèmes affectés ont progressivement repris leur fonctionnement normal, sans impact significatif sur les activités financières », commentait la firme, mais en recommandant toutefois aux utilisateurs de se procurer les mises à jour de firmware et de BIOS uniquement sur son site officiel, et de s'abstenir de télécharger ces patchs à partir d'autres sources.
Faute de mieux dans l'immédiat, MSI demandait également aux utilisateurs de ses machines de se méfier des mails frauduleux ciblant, notamment, les joueurs en ligne et se réclamant de l'entreprise.
La publication de clés liées à l'Intel Boot Guard pose toutefois de sérieux risques de sécurité en compromettant un dispositif de contrôle essentiel aux firmwares. Si le dispositif d'Intel n'est plus entièrement opérationnel, on peut imaginer qu'il sera à l'avenir plus facile d'installer par mégarde des mises à jour malveillantes sans qu'aucun signal d'alarme ne soit déclenché.
Source : TheHackerNews
