Специалисты компании Binarly сообщили, что проблема PKfail, обнаруженная в цепочке поставок UEFI минувшим летом, оказалась гораздо серьезнее, чем они предполагали. По словам экспертов, около 8,5% всех образов прошивки используют тестовые криптографические ключи, которые уже известны общественности или были раскрыты в результате утечки данных. В итоге множество устройств с Secure Boot уязвимы и могут рассматриваться как потенциально скомпрометированные.
Напомним, что изначально сообщалось, что проблема PKfail затрагивает сотни моделей устройств многих крупных производителей, включая Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro.
Эксперты Binarly обнаружили, что уязвимые устройства используют криптографические тестовые «мастер-ключи» для Secure Boot, также известные как Platform Key, созданные компанией American Megatrends International (AMI). Такие ключи помечены как «DO NOT TRUST» и вообще не предназначались для использования в производственных системах: AMI предоставляла их клиентам и потенциальным покупателям для тестирования.
Предполагалось, что производители должны заменить их собственными, сгенерированными безопасно ключами. Однако это не было сделано.
Летом аналитики писали, что ключи с отметками «DO NOT SHIP» и «DO NOT TRUST» применяются в 813 различных продуктах. Причем многие тестовые ключи были частью утечек данных, то есть о них уже стало известно широкой общественности и потенциальным злоумышленникам.
«OEM-производители и поставщики устройств зачастую не заменяют Platform Key, управляющий базами данных Secure Boot и поддерживающий всю цепочку доверия от прошивки к операционной системе. В результате устройства поставляются с ненадежными ключами», — писали в своем отчете исследователи Binarly.
Эксплуатация PKfail позволяет злоумышленникам, имеющим доступ к уязвимым устройствам и приватной части Platform Key, обойти Secure Boot, манипулируя базами данных Key Exchange Key, Signature Database и Forbidden Signature Database. А скомпрометировав всю цепочку, от прошивки до операционной системы, атакующие смогут подписать свой вредоносный код и развернуть на машине UEFI-малварь, подобную CosmicStrand и BlackLotus.
В июле эксперты Binarly запустили сайт pk.fail, который был призван помочь пользователям просканировать и обнаружить уязвимые перед PKfail устройства, а также выявить вредоносные полезные нагрузки.
Как сообщается теперь, с момента запуска этот сканер уже помог выявить 791 уязвимую прошивку (из 10 095 проверенных). То есть теперь исследователям известно о 972 уязвимых устройствах, и они обнаружили еще четыре новых тестовых ключа, которых не видели ранее.
«Мы выявили PKfail и непроизводственные ключи на медицинских устройствах, десктопах, ноутбуках, игровых консолях, корпоративных серверах, банкоматах, POS-терминалах и даже в таких странных местах, как машины для голосования», — говорится в новом отчете Binarly.
Большинство проблемных ключей оказались связаны с AMI и ее конкурентами — Insyde (61), Phoenix (4) и еще один ключ от Supermicro.
Отмечается, что ключи Insyde, которые были сгенерированы в далеком 2011 году, по-прежнему используются в современных устройствах. Ранее предполагалось, что их можно найти только в редких и устаревших системах.
Кроме того, сообщество помогло подтвердить, что PKfail затрагивает различные специализированные устройства таких производителей как Hardkernel, Beelink и Minisforum, то есть проблема распространена намного шире, чем предполагалось изначально.
Эксперты Binarly пишут, что реакция производителей на PKfail в целом была проактивной и быстрой, однако не все оперативно опубликовали предупреждения об угрозе. Так, в настоящее время посвященные PKfail бюллетени безопасности выпустили Dell, Fujitsu, Supermicro, Gigabyte, Intel и Phoenix.
Также в отчете подчеркивается, что многие производители уже выпустили патчи или обновления прошивок для удаления и замены уязвимых ключей, и пользователи могут получить их, обновив BIOS. Исследователи рекомендуют всем проверить обновления от производителей своих устройств, и как можно скорее установить любые исправления, которые связаны с PKfail.
Пока Binarly не разглашает конкретные модели уязвимых устройств, ссылаясь на соглашения о неразглашении, так как исправления для многих их них пока недоступны. Обновленные данные о PKfail будут представлены на конференции LABScon, которая состоится на следующей неделе.
