File-file yang diambil selama peretasan besar-besaran MSI bulan lalu sudah mulai berkembang biak di web gelap. Salah satu hal yang lebih mengkhawatirkan yang terlihat di antara jarahan digital adalah kunci privat Intel OEM. MSI akan menggunakan ini untuk menandatangani pembaruan firmware/BIOS untuk lulus pemeriksaan verifikasi Intel Boot Guard. Sekarang peretas dapat menggunakan kunci tersebut untuk menandatangani BIOS, firmware, dan aplikasi berbahaya, yang akan sepenuhnya terlihat seperti rilis resmi MSI.
Setelah diretas bulan lalu, MSI mulai melakukannya mendesak pelanggan untuk mendapatkan pembaruan firmware/BIOS secara eksklusif dari situs web resminya. Perusahaan PC, komponen, dan periferal terkenal sedang diperas oleh grup ransomware bernama Money Message. Rupanya pemeras telah mencuri 1,5TB data, termasuk berbagai file kode sumber, kunci pribadi, dan alat untuk mengembangkan firmware. Laporan mengatakan bahwa Money Message meminta lebih dari empat juta dolar, untuk mengembalikan keseluruhan data kembali ke MSI. Lebih dari sebulan telah berlalu, dan sepertinya MSI belum membayar. Oleh karena itu, kita sekarang melihat dampaknya.
Intel Boot Guard memastikan bahwa PC hanya dapat menjalankan aplikasi terverifikasi sebelum booting. Di sebuah kertas putih tentang ‘under-the-OS-security (PDF), Intel berbicara dengan bangga tentang teknologi BIOS Guard, Boot Guard, dan Firmware Guard. Boot Guard adalah “elemen kunci integritas boot berbasis perangkat keras yang memenuhi persyaratan Microsoft Windows untuk UEFI Secure Boot.” Sayangnya, ini tidak lagi menjadi ‘penjaga’ yang berguna untuk berbagai sistem MSI.
Tweet diterbitkan oleh Biner (sebuah platform keamanan rantai pasokan) dan pendirinya Alex Matrosov, menjelaskan dengan rapi bahaya yang ditimbulkan oleh kebocoran kunci Boot Guard ini dan data lainnya dalam tangkapan MSI. Pakar keamanan menyarankan bahwa vendor perangkat lain akan terpengaruh oleh kebocoran MSI, termasuk Intel, Lenovo, Supermicro, dan banyak lainnya. Halaman GitHub yang ditautkan oleh Binarly mencantumkan 57 sistem PC MSI yang memiliki kunci firmware yang bocor, dan 166 sistem yang memiliki kunci Intel Boot Guard BPM/KM yang bocor.
Jika Anda ingin melihat-lihat daftar mesin yang terpengaruh, Anda akan melihat semua seri MSI yang familiar, seperti Sword, Stealth, Creator, Prestige, Modern, Cyborg, Raider, Titan. Pemilik sistem ini dengan CPU Intel Core 11th Gen Tiger Lake atau yang lebih baru harus benar-benar mematuhi pembaruan khusus situs MSI.
Selain kekhawatiran Boot Guard, ada kemungkinan peretas akan mencoba dan menipu pengguna agar membuka situs MSI palsu atau mengunduh aplikasi MSI palsu. Aplikasi ini sekarang dapat ditandatangani dan tampaknya benar-benar berasal dari MSI, sehingga dapat dijalankan tanpa memicu AV Anda.
Kebocoran ini tentu membuat gaduh, tidak jelas apakah kunci yang bocor bisa dicabut, atau bagaimana langkah selanjutnya dari pihak yang terlibat. Pada saat penulisan, kami belum melihat reaksi resmi dari MSI atau Intel mengenai file yang sekarang dipublikasikan. Harap hindari memeriksa file yang dicuri di web gelap atau sumber lain, karena sekarang mungkin berisi malware.
