Компания Binarly, специализирующаяся на кибербезопасности, обнаружила, что масштабы уязвимости PKfail в цепочке поставок UEFI значительно превосходят первоначальные оценки. Согласно последним данным, около 8,5% всех образов прошивок используют тестовые криптографические ключи, которые уже стали достоянием общественности или были скомпрометированы в результате утечек данных. Это означает, что огромное количество устройств с функцией Secure Boot потенциально уязвимы для атак.
Масштаб проблемы PKfail
Изначально сообщалось, что уязвимость PKfail затрагивает сотни моделей устройств от крупных производителей, включая Acer, Dell, HP, Intel, Lenovo и других. Однако новое исследование Binarly показывает, что проблема гораздо серьезнее. Уязвимые устройства используют криптографические тестовые «мастер-ключи» для Secure Boot, также известные как Platform Key, созданные компанией American Megatrends International (AMI).
Тестовые ключи в производственных системах
Эти ключи, помеченные как «DO NOT TRUST», предназначались исключительно для тестирования и не должны были использоваться в реальных продуктах. Предполагалось, что производители заменят их на собственные, безопасно сгенерированные ключи. Однако во многих случаях этого не произошло, что привело к широкому распространению уязвимости.
Последствия использования скомпрометированных ключей
Эксплуатация PKfail позволяет злоумышленникам, имеющим доступ к уязвимым устройствам и приватной части Platform Key, обойти механизм Secure Boot. Это открывает возможности для манипуляции критически важными базами данных, включая Key Exchange Key, Signature Database и Forbidden Signature Database. В результате атакующие могут подписать и развернуть вредоносный код, включая опасные UEFI-угрозы, подобные CosmicStrand и BlackLotus.
Результаты сканирования и новые находки
Для помощи пользователям в обнаружении уязвимых устройств Binarly запустила сайт pk.fail. С момента запуска сканер выявил 791 уязвимую прошивку из 10 095 проверенных. Общее число известных уязвимых устройств достигло 972, причем были обнаружены четыре новых тестовых ключа.
Исследователи Binarly отмечают: «Мы выявили PKfail и непроизводственные ключи на медицинских устройствах, десктопах, ноутбуках, игровых консолях, корпоративных серверах, банкоматах, POS-терминалах и даже в таких неожиданных местах, как машины для голосования». Это подчеркивает широкое распространение проблемы во всех сферах технологий.
Реакция производителей и рекомендации по безопасности
Многие производители, включая Dell, Fujitsu, Supermicro, Gigabyte, Intel и Phoenix, уже выпустили бюллетени безопасности и обновления прошивок для устранения уязвимости PKfail. Эксперты Binarly настоятельно рекомендуют пользователям проверить наличие обновлений для своих устройств и незамедлительно установить все доступные исправления, связанные с PKfail.
Уязвимость PKfail демонстрирует критическую важность тщательного контроля качества и безопасности в цепочке поставок технологических продуктов. Производителям необходимо уделять больше внимания замене тестовых ключей на производственные, а пользователям — регулярно обновлять прошивки своих устройств для защиты от потенциальных угроз. Дальнейшие исследования и разработка более надежных механизмов защиты UEFI остаются приоритетными задачами для обеспечения безопасности современных компьютерных систем.
