인텔, MSI의 인텔 부트 가드 개인키 유출관련 조사 중

---

Intel Boot Guard private keys have reportedly leaked, compromising the security of many computers
인텔 부트 가드 개인 키가 유출되어 많은 컴퓨터의 보안이 손상된 것으로 알려졌습니다.

---

사진출처) MSI 홈페이지

인텔(Intel)은 인텔 부트 가드(Booth Guard)보안 기능에 사용되는 개인 키가 유출된 것으로 추정되는 사건을 조사 중이며, MSI 장치에서 악성 UEFI 펌웨어 설치를 차단하는 기능이 원인으로 추정되고 있습니다.

​

지난 3월, 머니 메시지(Money Message)라는 악성 랜섬웨어를 만드는 해커조직은 컴퓨터 하드웨어 제조업체인 MSI를 공격했으며, 공격 과정에서 펌웨어, 소스 코드, 데이터베이스를 포함한 1.5TB의 데이터를 훔쳤다고 주장했습니다.

​

사이버 보안에 중점을 둔 뉴스를 다루는 블리핑컴퓨터(BleepingComputer)가 취재한 내용에 따르면, 이 랜섬웨어 조직이 4백만 달러의 몸값을 요구했고, 돈을 지불하지 않자 지난주부터 MSI의 마더보드에 사용되는 펌웨어의 소스 코드를 포함하여 MSI에서 훔친 데이터를 유출하기 시작했습니다.

 

---

공격의 영향을 받은 인텔 부트 가드

지난 5월 5일 금요일, 펌웨어 공급망 보안 플랫폼 바이너리(Binarly)의 CEO인 알렉스 마트로소프(Alex Matrosov)는 유출된 소스 코드에 57개 MSI 제품에 대한 이미지 서명 개인 키와 116개 MSI 제품에 대한 인텔 부트 가드 개인 키가 포함되어 있다고 경고했습니다.

​

"인텔은 이러한 보고를 인지하고 적극적으로 조사하고 있습니다. 인텔® 부트 가드용 MSI OEM 서명 키를 포함한 개인 서명 키가 데이터에 포함되어 있다는 연구원의 이야기도 있었습니다." 라고 인텔은 유출에 대한 질문에 대한 답변으로 블리핑컴퓨터(BleepingComputer)에 이야기 했습니다.

​

"인텔 부트 가드 OEM 키는 시스템 제조업체에서 생성하므로 인텔의 서명 키가 아니라는 점에 유의해야 합니다."

​

마트로소프는 이 유출로 인해 "11세대 타이거 레이크, 12세대 애들러 레이크, 13세대 랩터 레이크" CPU를 사용하는 MSI 장치에서 인텔 부트 가드가 작동하지 않을 수 있다고 말했습니다.

​

"우리는 전체 인텔 생태계가 이번 MSI 데이터 유출로 영향을 받고 있다는 증거를 확보했습니다. 이는 MSI 고객들에게 직접적인 위협이 될 뿐만 아니라 안타깝게도 MSI 고객들에게만 해당되는 것이 아닙니다."라고 마트로소프는 말했습니다.

​

"fw 이미지의 서명 키는 공격자가 악성 펌웨어 업데이트를 제작할 수 있게 해주며, MSI 업데이트 도구를 사용하여 정상적인 바이오스 업데이트 프로세스를 통해 전달될 수 있습니다."

​

"인텔 부트 가드 키 유출은 MSI뿐만 아니라 전체 인텔의 에코시스템에 영향을 미치고 보안 기능을 쓸모없게 만듭니다."

​

인텔 부트 가드는 UEFI 부트킷으로 알려진 악성 펌웨어의 로딩을 방지하도록 설계된 최신 인텔 하드웨어에 내장된 보안 기능입니다. 이는 Windows UEFI 보안 부팅 요구 사항을 충족하는 데 사용되는 중요한 기능입니다.

​

악성 펌웨어는 운영 체제보다 먼저 로드되어 커널 및 보안 소프트웨어로부터 자신의 활동을 숨기고 운영 체제를 재설치한 후에도 지속되며 손상된 디바이스에 멀웨어를 설치하는 역할을 할 수 있습니다.

​

악성 펌웨어로부터 보호하기 위해 인텔 부트 가드는 인텔 하드웨어에 내장된 공개 키를 사용하여 펌웨어 이미지가 합법적인 개인 서명 키를 사용하여 서명되었는지 확인합니다.

​

펌웨어가 합법적으로 서명된 것으로 확인되면 인텔 부트 가드는 해당 펌웨어를 장치에 로드할 수 있도록 허용합니다. 하지만 서명에 실패하면 펌웨어 로드가 허용되지 않습니다.

 

 

이번 유출의 가장 큰 문제는 유출된 키를 사용하여 서명한 펌웨어를 확인하는 데 사용되는 공개 키가 인텔 하드웨어에 내장되어 있는 것으로 추정된다는 것입니다. 공개 키를 수정할 수 없다면 유출된 키를 사용하는 디바이스에서 보안 기능을 더 이상 신뢰할 수 없습니다.

​

"유출된 MSI 소스 코드에서 매니페스트(KM) 및 부팅 정책 매니페스트(BPM) 개인 키가 발견되었습니다. 이 키는 하드웨어 신뢰 루트로 펌웨어 이미지 확인을 제공하는 부트 가드 기술에 사용됩니다."라고 바이너리(Binarly)는 트위터에 경고의 메세지를 공개하였습니다.

​

"KM 관리자의 해시 OEM 루트 RSA 공개 키는 칩셋의 필드 프로그래머블(FPF)에 프로그래밍됩니다. KM의 주요 목적은 부팅 정책, 초기 부팅 블록(IBB) 설명 및 해당 해시를 포함하는 BPM에서 RSA 공개 키의 해시를 저장하는 것입니다."

​

"언급된 키의 비공개 부분이 유출되면 잠재적인 공격자가 이 장치의 수정된 펌웨어에 서명할 수 있으므로 인텔 부트 가드의 검증을 통과하여 이 기술은 완전히 무용지물이 됩니다."

​

이러한 키는 일반적인 해커들에게는 도움이 되지 않을 수 있지만, 일부 악질적인 악성코드를 만들었던 해커들이 예전에 CosmicStrand 및 BlackLotus UEFI 멀웨어와 같은 공격에 이러한 펌웨어를 사용한 적이 있습니다.

​

"이제 이 기능이 손상될 수 있으며 공격자는 인텔 부트 가드에 대한 걱정 없이 영향을 받는 장치에 악성 펌웨어 업데이트를 충분히 만들 수 있습니다."라고 마트로소프는 경고 했습니다.

​

바이너리(Binarly)는 유출된 인텔 부트 가드 키에 의해 손상된 것으로 알려진 116개의 MSI 장치로 구성된 영향을 받은 MSI 하드웨어 목록을 공개했다고 합니다.

​

블리핑컴퓨터(BleepingComputer)는 추가 질문을 위해 MSI와 인텔에 연락했지만 즉시 답변을 받지 못했다고 합니다.

 

---

 

※ 기사 내용 참조

​

[Bleeping Computer] Intel investigating leak of Intel Boot Guard private keys after MSI breach | By Lawrence Abrams | May 8, 2023 | https://www.bleepingcomputer.com/news/security/intel-investigating-leak-of-intel-boot-guard-private-keys-after-msi-breach/

 

---

https://pf.kakao.com/_UCxoxnT

웨어러블서치