Hacker zieht einen Geldschein aus seinem Notebook
Hacker zieht einen Geldschein aus seinem Notebook
Bildquelle: cookelma, Lizenz

Nach MSI-Hack: Private Schlüssel erlauben Firmware-Manipulation

Neben jenen von MSI bringen die von den Hackern geleakten privaten Schlüssel auch Produkte anderer Hardware-Hersteller in Gefahr.

Nachdem Hacker im April in die IT-Systeme des Hardware-Herstellers MSI eingedrungen waren, haben sie inzwischen eine Vielzahl privater Schlüssel in Umlauf gebracht. Diese erlauben es Cyberkriminellen mitunter, eine mit bösartigem Code verseuchte Firmware zu signieren. Folglich stufen betroffene Geräte diese als unschädlich ein und installieren sie ohne jegliche Warnung.

MSI-Hack von April bleibt nicht ohne Folgen

Anfang April vermeldete der taiwanesische PC-Hardware-Hersteller Micro-Star International (MSI) einen Sicherheitsvorfall, bei dem sich eine Ransomware-Gruppe namens “Money Message” Zugang zur IT-Infrastruktur des Unternehmens verschaffen konnte.

Die Angreifer forderten damals ein Lösegeld in Höhe von vier Millionen Dollar. Ferner drohten sie MSI mit einer Veröffentlichung der erbeuteten 1,5 Terabyte an Unternehmensdokumenten, sofern der Konzern den Forderungen der Hacker nicht nachkomme.

Dass ein solcher Angriff ohne Folgen bleibt, dürfte wohl kaum jemand erwartet haben. Wie Heise berichtet, geistern inzwischen so einige private Schlüssel durchs Netz. Diese hatte der Hersteller für Intel BootGuard und zum Signieren seiner Firmware genutzt.

Forscher finden private Schlüssel von MSI im Netz

Entdecker der gestohlenen privaten Schlüssel waren Sicherheitsforscher von Binarly. Schon am Freitag warnten sie in einem Tweet davor, dass das Datenleck auch Produkte anderer Hersteller betreffe. Darunter Intel, Lenovo, Supermicro und “viele andere aus der ganzen Branche”.

Später gab Alex Matrosov, der CEO von Binarly, bekannt, dass durch den MSI-Hack auch “Intel BootGuard auf bestimmten Geräten unwirksam ist”. Dabei handelt es sich um eine Technologie, die im Zusammenhang mit UEFI Secure Boot steht. Sie soll eigentlich dafür sorgen, dass das System beim Start nur verifizierten Code ausführt.

Explizit nennt Matrosov in diesem Kontext die Intel-CPU-Architekturen Tiger Lake, Alder Lake und Raptor Lake. Also die 11. bis 13. Generation der weitverbreiteten Intel-Core-Prozessoren.

MSI-Nutzer sollten jetzt besonders wachsam sein

Der Kryptographie-Experte Matthew Green von der Johns Hopkins University warf bezüglich der Folgen des MSI-Hacks ein paar durchaus berechtigte Fragen in den Raum:

“Wie kann man einen privaten OEM-Schlüssel für ein vertrauenswürdiges Boot-System ausspähen? Welche Art von Inkompetenz führt dazu, dass dieser Schlüssel überhaupt an einen Ort gelangt, an dem er durchsickern kann? Und wenn dieser Schlüssel durchsickern kann, welche geheimen Schlüssel werden dann nicht durchsickern?”

Matthew Green

Auf Basis der geleakten Schlüssel ist es Cyberkriminellen nun möglich, eine manipulierte Firmware zu signieren. Betroffene MSI-Produkte würden diese folglich nicht als Fälschung erkennen, sodass Hacker böswilligen Code auf zahlreichen Rechnern einschleusen können. Selbst eine Neuinstallation des Betriebssystems sowie ein Austausch der Festplatte würden nicht dabei helfen, das infizierte System wieder zu bereinigen.

Alle bisher gefundenen Keys sammelt Binarly in einem öffentlich einsehbaren Github-Projekt. Darüber hinaus listet das Unternehmen dort auch die unzähligen MSI-Produkte auf, die durch den Sicherheitsvorfall gefährdet sind.

MSI-Nutzer, die sich vor einem potenziellen Angriff schützen wollen, sollten jetzt umso mehr darauf achten, Firmware-Updates ausschließlich über die offizielle Webseite des Herstellers zu beziehen.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.