Търсене
Close this search box.

Няколко доставчици на потребителски и корпоративни персонални компютри споделят компрометиран криптографски ключ, който изобщо не е трябвало да се намира в устройствата.

Атакуващите могат да заобиколят процеса Secure Boot на милиони компютърни системи, базирани на микропроцесори Intel и ARM, от няколко производители, тъй като всички те споделят предварително изтекъл криптографски ключ, използван в процеса на стартиране на устройството.

Така нареченият Platform Key (PK) от American Megatrends International (AMI) служи като корен на доверие по време на веригата за стартиране на компютъра Secure Boot и проверява автентичността и целостта на фърмуера и софтуера за стартиране на устройството.

За съжаление изследователите от доставчика на системи за сигурност на фърмуера Binarly откриха, че ключът е бил публично разкрит при изтичане на данни през 2018 г. „Този ключ вероятно е бил включен в референтното изпълнение [на AMI] с очакването, че ще бъде заменен с друг безопасно генериран ключ от субектите надолу по веригата на доставки“, заявиха от Binarly в публикация по въпроса тази седмица.

Проблемът със защитеното зареждане PKFail

Това, което изглежда се е случило, е, че един производител на оригинално оборудване (OEM) е използвал тестовия ключ на AMI за фърмуер, който е произвеждал за различни производители на устройства, базирани на Intel и ARM. Резултатът е, че потенциално има милиони потребителски и корпоративни устройства по света, които в момента използват един и същ компрометиран AMI PK по време на процеса на сигурно зареждане – казва Алекс Матросов, главен изпълнителен директор и основател на Binarly. Сред засегнатите производители са Lenovo, HP, Asus и SuperMicro.

„Нападател с достъп до частната част на PK може лесно да заобиколи Secure Boot, като манипулира базата данни с ключове за обмен, базата данни със сигнатури и базата данни със забранени сигнатури“, казва Матросов, който е нарекъл проблема „PKFail“. Проблемът улеснява нападателите, наред с други неща, да внедряват бууткитове с унифициран разширяем интерфейс за фърмуер (UEFI) като миналогодишния BlackLotus, който предлага постоянен достъп до ядрото и привилегии.

„Поправката е лесна: компрометираният ключ трябва да бъде заменен, а производителите на устройства трябва да изпратят актуализация на фърмуера“, казва Матросов. Някои от тях вече са го направили, отбелязва той. В много случаи обаче – като например при сървърите в центровете за данни или при системите, използвани в критични приложения – внедряването на актуализациите на фърмуера може да отнеме известно време.

„Експлоатацията на този проблем е тривиална в случай, че устройството е засегнато“, казва той, посочвайки доказателство за концептуален експлойт (PoC), който Binarly е разработил за PKFail. Матросов препоръчва на организациите да изключат устройствата с изтекъл AMI PK от критичните мрежи, докато не успеят да внедрят обновяване на фърмуера.

Главен ключ и наистина голяма сделка

Проблемът с PKfail е голям, защото улеснява хакерите да заобиколят Secure Boot, което е като да имаш главен ключ, който отключва много къщи – каза Роже Фишер, главен изпълнителен директор на холандската компания Hadrian, в коментар, изпратен по имейл. „Тъй като едни и същи ключове се използват в различни устройства, един пробив може да засегне много системи, което прави проблема широко разпространен“, каза той.

PKFail е само най-новата проява на проблем, който съществува от повече от десетилетие, а именно тенденцията OEM производителите и производителите на устройства да използват непроизводствени и тестови криптографски ключове в производствен фърмуер и устройства, казва Матросов. AMI PK например явно е трябвало да бъде третиран като напълно ненадежден, но въпреки това се е оказал в устройства от множество производители.

Докладът на Binarly посочва инцидент от 2016 г., проследен като CVE-2016-5247, при който изследователи по сигурността откриват множество устройства Lenovo, които споделят един и същ тестов AMI PK. По онова време Националната база данни за уязвимости описа проблема като позволяващ на „местни потребители или физически близки нападатели да заобиколят защитния механизъм Secure Boot, като използват тестовия ключ AMI“.

В крайна сметка PKFail е проява на лоши практики за управление на криптографски ключове във веригата за доставка на устройства, казва Binarly в своя доклад.

„Това е огромен проблем“, казва Матросов. „Ако си помислите за жилищен комплекс, в който всички ключалки на вратите имат едни и същи ключове. Ако един ключ изчезне, това може да създаде проблеми за всички.“

 

Източник: DARKReading

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
03/10/2024

САЩ и техните съюзници изда...

Нови насоки от правителствени агенции в...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!