PKfail ranjivost je značajan sigurnosni problem koji utiče na preko 200 modela uređaja Secure Boot. PKfail je kritičan problem u lancu nabavke firmvera koji podriva proces bezbjednog pokretanja u UEFI ekosistemu.
Secure Boot osigurava da se tokom procesa pokretanja učitava samo pouzdani softver, sprečavajući neovlašteno izvršavanje koda. Međutim, PKfail kompromituje ovu sigurnosnu funkciju iskorištavanjem slabosti u upravljanju ključevima platforme (PK-ovima).i stvori lažne administratorske korisnike.
- Ključ platforme (PK): PK je „glavni ključ“ u arhitekturi UEFI Secure Boot, odgovoran za upravljanje bazama podataka Secure Boot i održavanje lanca povjerenja od firmvera do operativnog sistema.
- Nepouzdani ključevi: Ranjivost nastaje jer se mnogi uređaji isporučuju s nepouzdanim testnim ključevima koje generišu nezavisni proizvođači BIOS-a (IBV) kao što je American Megatrends International (AMI). Ove testne ključeve često ne zamjenjuju proizvođači originalne opreme (OEM) ili dobavljači uređaja sa sigurno generiranim ključevima.
- Procureli ključevi: Privatni ključevi iz Intel Boot Guard-a i AMI-ja su procurili, omogućavajući napadačima da zaobiđu Secure Boot manipulisanjem bazom podataka ključeva za razmjenu ključeva (KEK), bazom podataka potpisa (db) i bazom podataka zabranjenih potpisa (dbx).
PKfail omogućava napadačima da u potpunosti zaobiđu zaštitu Secure Boot, koja je važna za održavanje bezbjednog procesa pokretanja. Napadači mogu potencijalno instalirati uporni UEFI malver poput bootkita , koji mogu preživjeti ponovnu instalaciju operativnog sistema i vrlo ih je teško otkriti i ukloniti.
Binarly istraživački tim je otkrio da mnogi proizvodi koriste testni ključ platforme koji je kreirao American Megatrends International (AMI). Ovaj ključ je vjerovatno uključen u njihovu referentnu implementaciju uz očekivanje da će biti zamijenjen drugim ključem koji je sigurno generisan.
Ranjivost je toliko raširena da bi se mogla koristiti za pokretanje velikih napada na više dobavljača u lancu nabavke.
PKfail ranjivost utječe na više dobavljača
PKfail ranjivost utiče na stotine UEFI proizvoda od više proizvođača, uključujući Acer, Dell, Fujitsu, HP, Intel, Lenovo i Supermicro. Problem se proteže više od jedne decenije, sa prvim ranjivim firmverom objavljenim u maju 2012., a najnovijim u junu 2024. Iskorištavanje ove ranjivosti omogućava napadačima da:
- Zaobiđite bezbjedno pokretanje.
- Instalirajte UEFI malver kao što su CosmicStrand i BlackLotus.
- Ugrozite cijeli sigurnosni lanac od firmvera do operativnog sistema.
Da biste riješili ranjivost PKfail, preporučuju se sljedeći koraci:
Za prodavce uređaja:
- Zamijenite testne ključeve: Osigurajte da su svi testni ključevi koje daje IBV zamijenjen sigurno generiranim ključevima prije slanja uređaja.
- Upravljanje kriptografskim ključevima: Slijedite najbolje prakse za upravljanje kriptografskim ključevima, kao što je korištenje hardverskih sigurnosnih modula (HSM) za generiranje i sigurno pohranjivanje ključeva.
- Ažuriranja firmvera: Izdajte ažuriranja firmvera da biste zamijenili nepouzdane ključeve i riješili ranjivosti . Kontinuirano praćenje i ažuriranje firmvera su od ključne važnosti za održavanje sigurnosti.
Za korisnike:
- Primijenite sigurnosne zakrpe: Redovno provjeravajte i primijenite ažuriranja firmvera od proizvođača uređaja da biste riješili ranjivosti PKfail-a.
- Nadgledanje uređaja: Koristite alate kao što je PKfail skener koji nudi Binarly za otkrivanje ranjivih uređaja i zlonamjernog opterećenja. Skener je dostupan besplatno na pk.fail .
Opšte najbolje prakse:
- Budite informirani: budite u toku sa sigurnosnim upozorenjima i ažuriranjima proizvođača uređaja.
- Konfiguracija bezbednog pokretanja: Uverite se da je bezbedno pokretanje pravilno konfigurisano i da se u bazama podataka Secure Boot koriste samo pouzdani ključevi.
PKfail ranjivost otkriva značajne ranjivosti u sigurnosti lanca nabavke UEFI ekosistema. Prateći preporučene strategije za smanjenje rizika od eksploatacije, i prodavci uređaja i korisnici mogu poboljšati ukupnu sigurnost svojih uređaja.
Izvor:CybersecurityNews
