Die Cybersicherheitsexperten von Binarly haben alarmierende neue Erkenntnisse zur PKfail-Schwachstelle veröffentlicht, die im Sommer 2023 in der UEFI-Lieferkette entdeckt wurde. Die Untersuchungen zeigen, dass das Problem weitaus gravierender ist als zunächst angenommen: Etwa 8,5% aller analysierten Firmware-Images verwenden öffentlich bekannte oder geleakte Testschlüssel, was Millionen von Geräten mit aktiviertem Secure Boot potenziell angreifbar macht.
Weitreichende Auswirkungen auf namhafte Hersteller
Die PKfail-Schwachstelle betrifft Hunderte von Gerätemodellen führender Hersteller wie Acer, Dell, HP, Lenovo und Intel. Das Kernproblem liegt in der Verwendung kryptographischer Test-„Masterschlüssel“ für Secure Boot, die von American Megatrends International (AMI) erstellt wurden. Diese Schlüssel, als „Platform Keys“ bekannt, sind explizit mit „DO NOT TRUST“ gekennzeichnet und waren ausschließlich für Testzwecke vorgesehen.
Kritische Sicherheitslücke durch fahrlässigen Umgang mit Testschlüsseln
Entgegen der Erwartung, dass Gerätehersteller diese Testschlüssel durch eigene, sicher generierte Schlüssel ersetzen würden, geschah dies in vielen Fällen nicht. Binarly-Forscher identifizierten 791 anfällige Firmware-Images unter 10.095 überprüften Proben, was auf insgesamt 972 verwundbare Gerätemodelle hindeutet. Besonders beunruhigend ist die Entdeckung von vier bisher unbekannten Testschlüsseln.
Breites Spektrum betroffener Geräte
Die PKfail-Schwachstelle wurde in einer erschreckenden Vielfalt von Geräten nachgewiesen, darunter:
- Medizinische Geräte
- Desktop-Computer und Laptops
- Spielkonsolen
- Unternehmensserver
- Geldautomaten und POS-Terminals
- Wahlmaschinen
Neben AMI wurden auch problematische Schlüssel von Konkurrenten wie Insyde, Phoenix und Supermicro identifiziert. Besonders alarmierend ist die Tatsache, dass Insyde-Schlüssel aus dem Jahr 2011 noch immer in modernen Geräten Verwendung finden.
Sicherheitsimplikationen und Handlungsempfehlungen
Die Ausnutzung von PKfail ermöglicht es Angreifern, Secure Boot zu umgehen und potenziell schädlichen Code auf betroffenen Systemen auszuführen. Dies öffnet die Tür für die Installation von UEFI-Malware wie CosmicStrand oder BlackLotus, die extrem schwer zu entdecken und zu entfernen ist.
Viele Hersteller haben bereits Patches und Firmware-Updates veröffentlicht, um die verwundbaren Schlüssel zu ersetzen. Experten empfehlen dringend, die BIOS-Versionen aller Geräte zu überprüfen und verfügbare Sicherheitsupdates umgehend zu installieren. Nutzer sollten die Webseiten ihrer Gerätehersteller auf Sicherheitsbulletins zu PKfail prüfen und entsprechende Maßnahmen ergreifen.
Die PKfail-Problematik unterstreicht die kritische Bedeutung sorgfältiger Sicherheitspraktiken in der gesamten Technologie-Lieferkette. Sie verdeutlicht, wie scheinbar kleine Versäumnisse weitreichende Konsequenzen für die globale Cybersicherheitslandschaft haben können. Unternehmen und Einzelpersonen müssen wachsam bleiben und proaktiv Schritte unternehmen, um ihre digitale Infrastruktur zu schützen. Nur durch kontinuierliche Aufmerksamkeit und schnelles Handeln können wir die Integrität unserer zunehmend vernetzten Welt gewährleisten.