MSI-laptops in gevaar na recente hackaanval
Sleutels waarmee MSI de authenticiteit van software controleert, zijn uitgelekt. Kwaadwillenden kunnen zulke ‘sleutels’ nu ook gebruiken om eigen, gevaarlijke software te ondertekenen.
Elke fabrikant gebruikt unieke sleutels voor het ondertekenen van softwarepakketten. Het gebeurt daarbij vaker dat zulke sleutels in de handen van kwaadwillenden vallen. Fabrikanten als Dell en HP hebben intussen richtlijnen voorzien om gevaren daarvan te mitigeren; als een sleutel uitlekt, wordt deze zo snel als mogelijk ingetrokken. MSI zou echter niet voorbereid zijn op zulke hackaanvallen, is de conclusie die beveiligingsbedrijf Binarly ditmaal trekt.
Onzichtbaar gevaar
Het bericht daarover duikt op via Binarly-ceo Alex Matrosov. Matrosov claimt dat de hackers bij een cyberaanval begin april onder meer ‘private sleutels’ van MSI en Intel buit hebben gemaakt. Voor de sleutels van MSI geldt dat 57 producten van dat merk worden getroffen, terwijl de sleutels van Intel, zogenaamde BootGuard-sleutels, in gebruik zijn op 116 MSI-producten.
Voor de sleutels van MSI geldt dat deze worden gebruikt worden voor het tekenen van firmware. Nu die sleutels zijn uitgelekt, kunnen kwaadwillenden hun gevaarlijke firmware tekenen met dergelijke sleutels. Bij installatie wordt de firmware dan als afkomstig van MSI beschouwd en als betrouwbaar gekenmerkt. Voor de Intel Bootguard-sleutels geldt dat kwaadwillenden aangepaste, ondertekende UEFI-firmware kunnen installeren. Zonder die sleutels kan een apparaat met aangepaste firmware niet booten; dit lek heeft dus ernstige veiligheidsgevolgen, zowel voor consumenten als bedrijven.
Matrosov voegt eraan toe dat niet alleen MSI-computers vatbaar zijn. Andere fabrikanten gebruiken namelijk dezelfde, gecompromitteerde, Intel Bootguard-sleutels. Voor welke merken dit het geval is, blijft onduidelijk. Intel spreekt dit overigens tegen in reactie op vragen van de Nederlandse overheid. Volgens hen gebruikt enkel MSI de specifieke Bootguard-sleutels.
Oplossing niet in zicht
Voorlopig blijft het stil vanuit MSI rond de gelekte sleutels en mogelijke oplossing. Volgens Matrosov ligt zo’n oplossing ook niet binnen handbereik. MSI heeft namelijk niet voorzien in procedures om de gelekte sleutels in te trekken. Daarmee blijft het voorlopig de vraag hoe het merl de problemen op wil en vooral ook kan oplossen.
Het Nederlandse Nationaal Cyber Security Centrum (NCSC) stelt bedrijven intussen enigszins gerust. “Succesvol misbruik is technisch complex en vereist in beginsel lokale toegang tot een kwetsbaar systeem. Het NCSC acht de kans op misbruik daarom klein”, schrijft de overheidsdienst.