BootGuard è una tecnologia di sicurezza hardware introdotta da Intel per proteggere il processo di avvio di un sistema e impedire il caricamento e l’utilizzo di firmware non autorizzato o modificato. Utilizza un meccanismo di autenticazione basata su firme digitali e crittografia per proteggere il firmware all’avvio del sistema e le informazioni riservate.
BootGuard è una tecnologia di sicurezza avanzata che richiede l’uso di hardware specifico, tra cui un processore Intel con supporto per le estensioni Intel Platform Trust Technology (PPT).
Questa soluzione viene da un lato impiegata per garantire che il firmware non sia stato modificato o sostituito da terze parti non autorizzate, dall’altro per proteggere le regioni della memoria di sistema in cui sono archiviati dati importanti come le chiavi di cifratura, le credenziali di autenticazione e le informazioni di sicurezza.
Le chiavi di Intel BootGuard sono tenute segrete e protette: il furto da parte di soggetti terzi, tuttavia, rappresenta un grave problema. Se un attaccante riesce a ottenere le chiavi di BootGuard, potrebbe utilizzarle per compromettere il firmware del sistema e installare firmware malevoli, compromettendo la sicurezza dell’intera macchina. Inoltre, potrebbe accedere ai dati sensibili memorizzati nel sistema, come le chiavi di cifratura e le informazioni di autenticazione compromettendo la privacy degli utenti e la sicurezza dei dati.
All’inizio di aprile 2023 un gruppo di aggressori (il nome del collettivo è Money Message), affermò di aver sottratto 1,5 TB di dati dai server MSI, noto produttore di hardware per il mondo business e per il gaming. Tra i dati trafugati codice sorgente e file descritti come di primaria importanza: Money Message intimò a MSI di pagare un riscatto di 4 milioni di dollari per evitare la pubblicazione delle informazioni. MSI, d’altra parte, ha risposto negativamente e le informazioni raccolte sono state adesso rese pubbliche.
Con un’indagine approfondita, BINARLY ha scoperto che nei file sottratti all’azienda taiwanese ci sono le chiavi di Intel BootGuard utilizzate da MSI e non solo. Secondo i ricercatori sarebbero utilizzate anche da Lenovo, Supermicro e da molti altri fornitori, oltre che dalla stessa Intel. Su GitHub è stata condivisa anche la lista dei dispositivi hardware interessati.
I file trapelati contengono le chiavi di firma per un totale di oltre 200 prodotti MSI che possono essere utilizzati per accedere al firmware di questi dispositivi.
Queste chiavi potrebbero essere adesso utilizzate per contrassegnare software dannoso come affidabile: in questo modo verrebbe caricato ed eseguito sui sistemi.
MSI ha invitato gli utenti a limitarsi a scaricare nuove versioni del firmware per i suoi dispositivi solo ed esclusivamente tramite il suo sito Web evitando di affidarsi a materiale pubblicato da fonti non ufficiali.
Secondo Alex Matrosov, CEO di BINARLY, il furto di dati (leak) venuto a galla in questi giorni non riguarderebbe soltanto BootGuard ma anche tutti gli altri meccanismi di firma utilizzati dai vari produttori.