Компрометирующая Secure Boot проблема PKfail оказалась распространена шире, чем считалось - «Новости»

Специалисты компании Binarly сообщили, что проблема PKfail, обнаруженная в цепочке поставок UEFI минувшим летом, оказалась гораздо серьезнее, чем они предполагали. По словам экспертов, около 8,5% всех образов прошивки используют тестовые криптографические ключи, которые уже известны общественности или были раскрыты в результате утечки данных. В итоге множество устройств с Secure Boot уязвимы и могут рассматриваться как потенциально скомпрометированные.

Напомним, что изначально сообщалось, что проблема PKfail затрагивает сотни моделей устройств многих крупных производителей, включая Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro.

Эксперты Binarly обнаружили, что уязвимые устройства используют криптографические тестовые «мастер-ключи» для Secure Boot, также известные как Platform Key, созданные компанией American Megatrends International (AMI). Такие ключи помечены как «DO NOT TRUST» и вообще не предназначались для использования в производственных системах: AMI предоставляла их клиентам и потенциальным покупателям для тестирования.

Предполагалось, что производители должны заменить их собственными, сгенерированными безопасно ключами. Однако это не было сделано.

Летом аналитики писали, что ключи с отметками «DO NOT SHIP» и «DO NOT TRUST» применяются в 813 различных продуктах. Причем многие тестовые ключи были частью утечек данных, то есть о них уже стало известно широкой общественности и потенциальным злоумышленникам.

Эксплуатация PKfail позволяет злоумышленникам, имеющим доступ к уязвимым устройствам и приватной части Platform Key, обойти Secure Boot, манипулируя базами данных Key Exchange Key, Signature Database и Forbidden Signature Database. А скомпрометировав всю цепочку, от прошивки до операционной системы, атакующие смогут подписать свой вредоносный код и развернуть на машине UEFI-малварь, подобную CosmicStrand и BlackLotus.

В июле эксперты Binarly запустили сайт pk.fail, который был призван помочь пользователям просканировать и обнаружить уязвимые перед PKfail устройства, а также выявить вредоносные полезные нагрузки.

Как сообщается теперь, с момента запуска этот сканер уже помог выявить 791 уязвимую прошивку (из 10 095 проверенных). То есть теперь исследователям известно о 972 уязвимых устройствах, и они обнаружили еще четыре новых тестовых ключа, которых не видели ранее.

Большинство проблемных ключей оказались связаны с AMI и ее конкурентами — Insyde (61), Phoenix (4) и еще один ключ от Supermicro.

Отмечается, что ключи Insyde, которые были сгенерированы в далеком 2011 году, по-прежнему используются в современных устройствах. Ранее предполагалось, что их можно найти только в редких и устаревших системах.

Кроме того, сообщество помогло подтвердить, что PKfail затрагивает различные специализированные устройства таких производителей как Hardkernel, Beelink и Minisforum, то есть проблема распространена намного шире, чем предполагалось изначально.

Эксперты Binarly пишут, что реакция производителей на PKfail в целом была проактивной и быстрой, однако не все оперативно опубликовали предупреждения об угрозе. Так, в настоящее время посвященные PKfail бюллетени безопасности выпустили Dell, Fujitsu, Supermicro, Gigabyte, Intel и Phoenix.

Также в отчете подчеркивается, что многие производители уже выпустили патчи или обновления прошивок для удаления и замены уязвимых ключей, и пользователи могут получить их, обновив BIOS. Исследователи рекомендуют всем проверить обновления от производителей своих устройств, и как можно скорее установить любые исправления, которые связаны с PKfail.

Пока Binarly не разглашает конкретные модели уязвимых устройств, ссылаясь на соглашения о неразглашении, так как исправления для многих их них пока недоступны. Обновленные данные о PKfail будут представлены на конференции LABScon, которая состоится на следующей неделе.