Aproximativ nouă la sută din imaginile de firmware testate utilizează chei criptografice non-producție cunoscute public sau divulgate în cazuri de încălcări de date, lăsând multe dispozitive Secure Boot vulnerabile la atacuri malicioase cu malware UEFI bootkit.
Cunoscut sub numele de ‘PKfail,’ și acum urmărit ca CVE-2024-8105, acest atac din lanțul de aprovizionare este cauzat de cheia master Secure Boot de test (Platform Key ‘PK’), pe care producătorii de calculatoare ar fi trebuit să o înlocuiască cu propriile chei generate în mod securizat.
Chiar dacă aceste chei erau marcate ca „NU SE ÎNCREDINȚEAZĂ,” ele au fost totuși utilizate de numeroși producători de calculatoare, inclusiv Acer, Dell, Fujitsu, Gigabyte, HP, Intel, Lenovo, Phoenix și Supermicro.
Problema a fost descoperită de Binarly la sfârșitul lunii iulie 2024, care a avertizat cu privire la utilizarea cheilor de test neîncredințate, multe dintre ele fiind deja divulgate pe GitHub și alte locații, pe peste opt sute de modele de dispozitive pentru consumatori și întreprinderi.
PKfail ar putea permite actorilor malefici să ocolească protecțiile Secure Boot și să plaseze malware UEFI nedetectabil pe sistemele vulnerabile, lăsând utilizatorii fără posibilitatea de a se apăra sau chiar de a descoperi compromisul.
În cadrul cercetării lor, Binarly a lansat un „scaner PKfail” pe care producătorii îl pot folosi pentru a încărca imaginile lor de firmware pentru a vedea dacă utilizează o cheie de test.
De la lansare, scanerul a identificat 791 de trimiteri de firmware vulnerabile dintr-un total de 10.095, conform celor mai recente metrici.
„Pe baza datelor noastre, am găsit PKfail și chei non-producție pe dispozitive medicale, desktopuri, laptopuri, console de jocuri, servere pentru întreprinderi, bancomate, terminale POS și unele locuri ciudate precum automate de vot.” se arată în noul raport al Binarly.
Cele mai multe dintre trimiterile vulnerabile sunt chei de la AMI (American Megatrends Inc.), urmate de Insyde (61), Phoenix (4) și o trimisie de la Supermicro.
Pentru cheile Insyde, generate în 2011, Binarly afirmă că trimiterile imaginilor de firmware arată că acestea sunt încă utilizate în dispozitive moderne. Anterior, se presupunea că acestea puteau fi întâlnite doar în sistemele mai vechi.
Comunitatea a confirmat, de asemenea, că PKfail afectează dispozitive specializate de la Hardkernel, Beelink și Minisforum, astfel încât impactul acestei defecțiuni este mai extins decât s-a estimat inițial.
Binarly menționează că răspunsul producătorilor la PKfail a fost în general proactiv și rapid, deși nu toți au publicat rapid avertismente despre riscul de securitate. Informații despre PKfail sunt disponibile în prezent la Dell, Fujitsu, Supermicro, Gigabyte, Intel și Phoenix.
Mai mulți producători au lansat deja remedieri sau actualizări de firmware pentru a elimina cheile Platform vulnerabile sau pentru a le înlocui cu materiale criptografice gata de producție, iar utilizatorii le pot obține prin actualizarea BIOS-ului.
Dacă dispozitivul dvs. nu mai este susținut și este puțin probabil să primească actualizări de securitate pentru PKfail, se recomandă limitarea accesului fizic la acesta și izolarea sa de părțile mai critice ale rețelei.
Bypass-ul Secure Boot PKfail permite atacatorilor să instaleze malware UEFI
Noul atac Eucleak permite actorilor malefici să cloneze cheile YubiKey FIDO
Chrome trece la criptare cuantică ML-KEM aprobată de NIST
Microsoft oferă o soluție temporară pentru problemele de pornire Linux pe sistemele dual-boot
Microsoft confirmă că actualizările din august afectează pornirea Linux în sistemele dual-boot
Leave a Reply