Нещодавнє дослідження компанії Binarly виявило, що проблема PKfail, вперше виявлена влітку 2023 року, має значно ширші масштаби, ніж передбачалося раніше. Ця уразливість, пов’язана з використанням тестових криптографічних ключів у прошивках UEFI, потенційно ставить під загрозу мільйони пристроїв по всьому світу.
Масштаби проблеми PKfail
За даними Binarly, близько 8,5% усіх проаналізованих образів прошивок використовують тестові криптографічні ключі, які вже відомі громадськості або були розкриті внаслідок витоків даних. Це означає, що величезна кількість пристроїв з увімкненим Secure Boot можуть бути вразливими до атак і повинні розглядатися як потенційно скомпрометовані.
Причини виникнення уразливості
Основною причиною проблеми є використання виробниками тестових “мастер-ключів” для Secure Boot, створених компанією American Megatrends International (AMI). Ці ключі, позначені як “DO NOT TRUST”, призначалися лише для тестування і не повинні були використовуватися в продуктивних системах. Однак багато виробників не замінили їх на власні безпечно згенеровані ключі.
Наслідки експлуатації PKfail
Експлуатація уразливості PKfail дозволяє зловмисникам, які мають доступ до вразливих пристроїв та приватної частини Platform Key, обійти механізм Secure Boot. Це відкриває можливості для маніпуляцій з базами даних Key Exchange Key, Signature Database та Forbidden Signature Database. У результаті атакуючі можуть підписати власний шкідливий код і розгорнути на пристрої UEFI-малвар, подібний до CosmicStrand і BlackLotus.
Результати сканування та нові знахідки
Компанія Binarly запустила сайт pk.fail для допомоги користувачам у виявленні вразливих пристроїв. З моменту запуску сканер виявив 791 уразливу прошивку з 10 095 перевірених. Загалом дослідникам тепер відомо про 972 вразливих пристрої, а також виявлено чотири нових тестових ключі, які раніше не були зафіксовані.
Широкий спектр вразливих пристроїв
Уразливість PKfail виявлена в різноманітних типах пристроїв, включаючи:
- Медичне обладнання
- Настільні комп’ютери та ноутбуки
- Ігрові консолі
- Корпоративні сервери
- Банкомати та POS-термінали
- Машини для голосування
Більшість проблемних ключів пов’язані з AMI та її конкурентами – Insyde (61 ключ), Phoenix (4 ключі) і один ключ від Supermicro. Особливе занепокоєння викликає факт використання ключів Insyde, згенерованих ще у 2011 році, у сучасних пристроях.
Реакція виробників та рекомендації
Експерти Binarly відзначають, що реакція виробників на PKfail була загалом проактивною та швидкою. Деякі компанії, включаючи Dell, Fujitsu, Supermicro, Gigabyte, Intel і Phoenix, вже випустили бюлетені безпеки щодо цієї загрози. Багато виробників також випустили патчі або оновлення прошивок для видалення та заміни вразливих ключів.
Користувачам настійно рекомендується перевірити наявність оновлень від виробників своїх пристроїв та якнайшвидше встановити будь-які виправлення, пов’язані з PKfail. Це критично важливо для забезпечення безпеки пристроїв та захисту від потенційних атак. Подальші деталі про уразливість PKfail та її вплив на різні моделі пристроїв будуть представлені на майбутній конференції LABScon, що підкреслює важливість постійного моніторингу та оновлення інформації про кіберзагрози.