Стотици модели лаптопи са компрометирани през Secure Boot

Стотици модели устройства от редица големи производители (Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro) са изложени на риск от компрометиране поради критичния проблем с име PKfail, открит във веригата за доставки на UEFI. Проблемът дава възможност на хакерите да заобиколят защитата Secure Boot и да инсталират зловреден софтуер.

Експертите на Binarly, които са открили проблема PKfail, съобщават, че уязвимите устройства използват криптографски тестови „мастър ключове“ за Secure Boot, известни също като Platform Key, създадени от American Megatrends International (AMI). Тези ключове по принцип са маркирани с надписа „DO NOT TRUST“ (Не се доверявай) и от производителите се очакваше да ги заменят със свои собствени, надеждно и сигурно генерирани ключове.

“OEM производителите и доставчиците на устройства често не успяват да заменят Platform Key, който управлява базите данни на Secure Boot и поддържа цялата верига на доверие - от фърмуера до операционната система. В резултат на това устройствата се доставят с ненадеждни ключове“, обясняват експертите на Binarly.

Както бе споменато по-горе, сред производителите на UEFI устройства, които са използвали ненадеждни тестови ключове, са Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro, а ключовете с надпис „DO NOT SHIP“ и „DO NOT TRUST“ са използвани в 813 различни продукта. Пълният списък е публикуван от изданието Ars Technica.

Очевидно е, че ключовете на AMI изобщо не са били предназначени за използване в серийно произвежданите компютърни системи, а AMI ги е предоставяла на клиентите и потенциалните купувачи за тестване. Въпреки това още през 2022 г. някой публикува в отворената платформа GitHub в хранилището Platform Key.

Хранилището се е намирало на адрес https://github.com/raywu-aaeon/Ryzen2000_4000[.]git и не е известно кога точно е било премахнато. Криптираният файл е бил защитен с парола от само четири символа, което означава, че разбиването на паролата и извличането на данните е било тривиална задача.

Изтичането на ключа останало до голяма степен незабелязано до месец януари 2023 г., когато изследователите от Binarly откриват същия ключ при разследване на инцидент, включващ атака по веригата за доставки, и се заинтересували от проблема.

Binarly отбелязва, че за съжаление това не е уникална ситуация и подобни проблеми са възниквали многократно преди това. Така например първият подобен инцидент е възникнал още през 2016 г., когато в устройства на Lenovo е открит друг платформен ключ, доставен от AMI, също с маркировка „DO NO TRUST“, което доведе до проблема CVE-2016-5242.

Вторият инцидент беше изтичането на частните ключове на Intel Boot Guard, което засегна редица производители. Миналата година например рансъмуер групата Money Message изтегли изходния код на фърмуера на MSI, използван в дънните платки на компанията. Кодът съдържаше частните ключове за подписване на дисковите и файловите образи за 57 продукта на MSI и частните ключове на Intel Boot Guard за други 116 продукта.

Изследователите предупреждават, че използването на PKfail би позволило на хакерите да заобиколят Secure Boot, като манипулират Key Exchange Key, Signature Database и Forbidden Signature Database.

Компрометирайки цялата верига, от фърмуера до операционната система, нападателите могат да подпишат своя зловреден код и да разположат на машината зловреден UEFI софтуер като например твърде неприятните CosmicStrand и BlackLotus.
За борба с PKfail на производителите се препоръчва да генерират и управляват Platform Key, като следват най-добрите практики за генериране и управление на криптографските ключове. Също така, разбира се, тестовите ключове, предоставени от независими доставчици на BIOS, като AMI, винаги трябва да се заменят със собствени.

Изследователите съветват потребителите да следят за актуализации на фърмуера от производителите на техните устройства и да инсталират всички пачове, които ще решат проблема с PKfail, възможно най-скоро. Експертите на Binarly стартираха и уебсайта pk.fail, който има за цел да помогне на потребителите да сканират и откриват уязвимите към PKfail устройства, както и да идентифицират зловредните файлове.