Компания Binarly установила, что масштаб уязвимости PKfail в цепочке поставок UEFI значительно превосходит первоначальные оценки: около 8,5% всех образов прошивок используют тестовые криптографические ключи AMI, которые уже находятся в открытом доступе или были скомпрометированы в результате утечек. Сканер pk.fail выявил 791 уязвимую прошивку из 10 095 проверенных; общее число уязвимых устройств достигло 972 и продолжает расти по мере расширения базы сканирования.
Технический механизм: тестовые Platform Key в производственных устройствах
PKfail связан с тем, что производители устройств не заменяли тестовые «мастер-ключи» Secure Boot — Platform Key (PK), созданные American Megatrends International (AMI) и помеченные строкой «DO NOT TRUST», — на собственные безопасные ключи перед выпуском продукта. Поскольку приватные части этих тестовых ключей утекли в открытый доступ, злоумышленник, располагающий их копией, получает возможность сформировать доверенную подпись для любого UEFI-модуля.
Последствия компрометации Secure Boot через PKfail
Эксплуатация PKfail позволяет атакующему манипулировать ключевыми базами данных Secure Boot: Key Exchange Key (KEK), Signature Database (db) и Forbidden Signature Database (dbx). Это открывает путь к установке UEFI-буткитов, аналогичных CosmicStrand и BlackLotus, которые выживают после переустановки ОС и сброса жёсткого диска, поскольку встраиваются в прошивку устройства.
Охват: медицинские устройства, банкоматы, машины для голосования
Исследователи Binarly зафиксировали уязвимые ключи не только в потребительских ноутбуках и десктопах, но и в медицинских устройствах, игровых консолях, корпоративных серверах, банкоматах, POS-терминалах и машинах для голосования. Среди затронутых производителей — Acer, Dell, HP, Intel, Lenovo, Fujitsu, Supermicro, Gigabyte и Phoenix Technologies.
Устройства с активным Secure Boot от перечисленных вендоров
Под угрозой находятся все устройства от затронутых производителей, в прошивке которых используются тестовые ключи AMI. Особенно критична ситуация для корпоративной инфраструктуры, медицинского оборудования и устройств в регулируемых отраслях, где компрометация прошивки может привести к долгосрочному скрытому присутствию атакующего без видимых следов в ОС.
Как проверить устройство и устранить уязвимость
- Проверьте устройство через сканер pk.fail — инструмент Binarly для выявления уязвимых прошивок.
- Изучите страницы поддержки производителя (Dell, Fujitsu, Supermicro, Gigabyte, Intel, Phoenix) — большинство уже выпустили бюллетени безопасности и обновления UEFI.
- Установите обновление прошивки (UEFI/BIOS) через официальный сайт вендора или встроенный инструмент обновления.
- После обновления убедитесь, что Secure Boot активен и Platform Key обновлён — проверьте через UEFI Setup или командой
mokutil --sb-stateв Linux. - Для корпоративных устройств — включите мониторинг целостности прошивки через решения класса firmware integrity monitoring.
Binarly продолжает расширять базу сканирования pk.fail; вероятно, реальное число уязвимых устройств выше 972. Производители, не выпустившие патч, должны рассматриваться как активно уязвимые — обновления UEFI для критической инфраструктуры следует приоритизировать наравне с патчами ОС.
