Intel Boot Guard bypass / key leak (MSI breach)¶
2023 MSI ihlali OEM Boot Guard signing key'lerini (KM/BPM) leak etti ve Boot Guard'ın etkilenen platformlarda erken firmware'i doğrulamak için dayandığı hardware root of trust'ı zayıflattı.
Mechanism¶
Broken invariant
Intel Boot Guard'ın invariant'ı şudur: yalnızca OEM'in key'leriyle imzalanmış, hardware'e fuse edilmiş bir hash'e chain'lenmiş firmware, en erken boot aşamalarında çalışabilir. OEM'in private signing key'leri leak olursa, bir attacker o signature kontrolünü sağlayan firmware üretebilir — böylece fuse edilmiş kökü leak olan key'e güvenen her cihaz için verified-boot garantisi çöker.
Boot Guard, OS ya da hatta ana UEFI firmware'i bile çalışmadan önce bir hardware root of trust kurar. CPU'nun Authenticated Code Module'ü (ACM), Key Manifest (KM) ve Boot Policy Manifest (BPM)'yi doğrular; OEM'in public key'inin hash'i platformdaki one-time-programmable field-programmable fuse'lara (FPF) yakılır. OEM, karşılık gelen private KM/BPM key'lerini elinde tutar. Nisan–Mayıs 2023'te Money Message ransomware aktörü MSI'ı ihlal etti ve dahili kaynak ile signing materyalini yayınladı; analiz (Binarly ve diğerleri), Intel 11.–13. nesil platformları kapsayan geniş bir MSI ürün kümesi için private Boot Guard KM/BPM key'lerini, ayrıca firmware image signing key'lerini buldu.
Hasar bir yazılım bug'ı değil, yapısaldır: trust anchor hardware'e fuse edildiği ve halihazırda sevk edilmiş cihazlarda revoke edilip rotate edilemediği için, leak olan key'ler o board'ların ömrü boyunca compromise olmuş durumdadır. Böyle bir key'e sahip bir attacker, Boot Guard doğrulamasını geçen kötü amaçlı bir firmware image'ı / bootkit imzalayabilir; Secure Boot'u, bootkit savunmalarını ve OS'in altındaki firmware bütünlüğünü varsayan her şeyi yenebilir. Bu, boot-guard-toctou-vulnerability.md'de ve uefi-firmware-implant-in-spi-flash.md'deki daha geniş UEFI implant çalışmasında incelenen sonuç sınıfının aynısıdır.
Walkthrough¶
Conceptual only — no signing material, keys, or images are reproduced
- Boot Guard trust'ı chain'ler: fuse edilmiş public-key hash → KM → BPM → doğrulanmış firmware boot block.
- Leak olan private KM/BPM key'leri, bir attacker'ın değiştirilmiş bir firmware image'ını yeniden imzalamasına olanak tanır; böylece FPF'leri o key'e güvenen cihazlarda BPM/KM doğrulaması hâlâ başarılı olur.
- SPI'a flash'lanan kötü amaçlı imzalı bir firmware image'ı (physical access, bir firmware-update path'i ya da bir write-protection yanlış yapılandırması yoluyla — bkz.
spi-flash-bios-write-protection-misconfig.md) ardından Boot Guard'ı geçer ve OS'in altında çalışır. - Kök hardware fuse'larında olduğu için, etkilenen cihazlar basitçe "key'i rotate" edemez; remediation OEM'e ve cihaz nesline bağlıdır.
Leak'in ciddiyeti, genişlikten (birçok model/SKU ve diğer downstream satıcıların etkilendiği bildiriliyor) ve hardware'e fuse edilmiş bir trust anchor'ın geri alınamazlığından kaynaklanır.
Detection¶
- Bu öncelikle bir supply-chain/firmware-integrity açığıdır; tespit, çalışma zamanı exploit imzasından çok firmware değişikliğine odaklanır.
- Boot Guard yapılandırmasını, SPI flash write protection'larını kontrol etmek ve firmware image'larını bilinen-iyi baseline'lara karşı yakalayıp karşılaştırmak için firmware-integrity araçları (örn. CHIPSEC) kullan; boot block'taki beklenmedik değişiklikleri işaretle.
- Measured boot / TPM PCR'ları: yetkili bir firmware güncellemesiyle açıklanamayan, reboot'lar arası PCR0–PCR7 değişikliklerini izle. Beklenmedik PCR drift'i firmware tampering'e işaret edebilir.
- Etkilenen modelleri envantere al ve OEM advisory'lerini takip et; trust kararları verirken (örn. yüksek-güvence rolleri için) etkilenen cihazları zayıflatılmış bir firmware root of trust'a sahip olarak değerlendir.
Mitigation¶
- OEM (MSI/Intel) firmware güncellemelerini uygula ve etkilenen SKU'lar için satıcı advisory'lerini izle; OEM'in bir nesilde boot policy'sini kısıtlayabildiği veya güncelleyebildiği yerlerde o cihazlara öncelik ver.
- Flashing path'ini hardenla, böylece imzalı-ama-kötü-amaçlı bir image kolayca yazılamaz: SPI flash write protection'ı doğru uygula (
spi-flash-bios-write-protection-misconfig.md), firmware update kanallarını kilitle ve physical-presence/authenticated güncellemeler talep et. - Firmware'in üstünde defense in depth: Secure Boot'u, VBS/HVCI'yi (
hypervisor-protected-code-integrity.md) ve measured boot'u etkinleştir, böylece bir firmware compromise'ı stack'in daha üst kısmında tespit edilme veya sınırlandırılma şansına sahip olur; root of trust'ı bilinen biçimde compromise olmuş hardware'i hassas workload'lar için emekliye ayır veya ayrıştır. - Procurement/asset management için: bilinen key-leak açığını cihaz lifecycle kararlarına dahil et, çünkü fuse edilmiş bir key compromise'ı mevcut hardware'de patch'lenerek giderilemez.
References¶
- Help Net Security: MSI's firmware, Intel Boot Guard private keys leaked
- Binarly: Leaked MSI source code with Intel OEM keys — software supply chain impact
- BleepingComputer: Intel investigating leak of Intel Boot Guard private keys after MSI breach
- The Hacker News: MSI data breach — private code signing keys leaked