Bron: NCSC, MSI, Access42
Updates:
- 09 mei 2023 – Op Twitter verschijnen berichten waarbij praktische impact van de gelekte private keys is aangetoond
Op 07 mei 2023 meldden verschillende bronnen, waaronder het Nationaal Cyber Security Centrum (NCSC), dat de private keys van hard- en softwareleverancier MSI zijn gelekt. Dit blijkt uit nader onderzoek van het beveiligingsbedrijf Binarly, dat onderzoek deed naar de ransomware aanval die al in april 2023 heeft plaatsgevonden bij MSI. De hackergroep heeft deze private keys gepubliceerd en dat kan gevolgen hebben voor verschillende fabrikanten.
Ransomware aanval
MSI heeft op 7 april 2023 reeds gemeld dat er een cyberaanval heeft plaatsgevonden, waarbij onbevoegden toegang hebben gekregen tot een deel van de informatiesystemen. Hackergroep Money Message beweede 1,5 TB aan broncode en databases te hebben gegijzeld en eiste 4 miljoen dollar.
Volgens rapporten zou de recent gelekte broncode van MSI onder andere het framework bevatten waarop de BIOS-software van MSI draait, evenals de sleutels die worden gebruikt om nieuwe BIOS-updates te certificeren. Dit betekent dat een kwaadwillende groep nu in staat zou zijn om een vervalste BIOS-updates te creëren die voorzien kan worden met malware.
Aanvullend onderzoek Binarly
Na onderzoek heeft Alex Matrosov, CEO van Binarly, ontdekt dat 57 MSI-producten gebruikmaken van gelekte private keys die worden gebruikt om firmware op apparaten te signeren en hierdoor de beveiliging te garanderen.
Impact
Het lekken van de private keys heeft mogelijk niet alleen impact op de producten van MSI, maar ook op diverse andere hard- en softwareleveranciers. Bijvoorbeeld Lenovo, Supermicro en Intel. Het NCSC heeft tot op heden geen misbruik waargenomen, maar het ligt in de lijn der verwachting dat er de komende dagen nog meer kwetsbare producten gevonden zullen worden.
Het uitlekken van de private keys kan tot ernstige beveiligingslekken leiden, omdat het aanvallers de mogelijkheid geeft om schadelijke software alsnog digitaal te ondertekenen.
Op Twitter is praktische impact aangetoond door het digitaal ondertekenen van executablebestanden middels een Micro-Star International CO X.509 certificaat:
Advies
Gebruikers wordt geadviseerd om de firmware/BIOS updates alleen via de officiële site van de fabrikant uit te voeren en geen gebruik te maken van bestanden die via andere kanalen worden aangeboden.
Het NCSC houdt de situatie, in samenwerking met partners, nauwlettend in de gaten en zal deze pagina updaten wanneer er meer informatie beschikbaar is.
Meer informatie
- https://www.msi.com/news/detail/MSI-Statement-141688
- https://github.com/binarly-io/SupplyChhttps://github.com/binarly-io/SupplyChainAttacks/blob/main/MSI/ImpactedDevices.mdainAttacks/blob/main/MSI/ImpactedDevices.md
- https://www.ncsc.nl/actueel/nieuws/2023/mei/7/msi-ransomware-aanval
- https://www.digitaltrustcenter.nl/nieuws/private-keys-van-msi-gelekt
