导 读
大约 9% 的经过测试的固件映像使用公开或在数据泄露中泄露的非生产加密密钥,导致许多安全启动设备容易受到 UEFI bootkit 恶意软件的攻击。
该供应链攻击被称为“PKfail”,漏洞编号为CVE-2024-8105,是由测试安全启动主密钥(平台密钥“PK”)引起的,计算机供应商应该用自己安全生成的密钥替换该密钥。
尽管这些密钥被标记为“不信任”,但它们仍然被众多计算机制造商使用,包括宏碁、戴尔、富士通、技嘉、惠普、英特尔、联想、菲尼克斯和超微。
该问题是由 Binarly于 2024 年 7 月下旬发现的,它警告称,超过八百种消费者和企业设备型号上存在不受信任的测试密钥的使用,其中许多密钥已经在 GitHub 和其他地方泄露。
PKfail 可以让攻击者绕过安全启动保护并在易受攻击的系统上植入无法检测到的 UEFI 恶意软件,使用户无法防御,也无法发现入侵。
PKfail 影响和响应
作为研究的一部分,Binarly 发布了“PKfail 扫描仪”,供应商可以使用它来上传他们的固件映像以查看他们是否使用了测试密钥。
根据最新指标,自发布以来,扫描仪已在 10,095 个固件提交中发现 791 个易受攻击的固件提交。
Binarly 在新报告中指出:“根据我们的数据,我们在医疗设备、台式机、笔记本电脑、游戏机、企业服务器、ATM、POS 终端以及投票机等一些奇怪的地方发现了 PKfail 和非生产密钥。”
大多数存在漏洞的提交密钥来自 AMI (American Megatrends Inc.),其次是 Insyde (61)、Phoenix (4),以及 Supermicro 的一个提交。
对于 2011 年生成的 Insyde 密钥,Binarly 表示,固件映像提交显示它们仍在现代设备中使用。此前,人们认为它们只能在旧系统中找到。
社区还确认 PKfail 会影响 Hardkernel、Beelink 和 Minisforum 的专用设备,因此该漏洞的影响比最初预估的要广泛。
Binarly 评论称,尽管并非所有厂商都迅速发布了有关安全风险的公告,但厂商对 PKfail 的反应总体上是积极主动且迅速的。目前,戴尔、富士通、Supermicro、技嘉、英特尔和Phoenix均发布了有关 PKfail 的公告。
一些供应商已经发布补丁或固件更新来删除易受攻击的平台密钥或用可用于生产的加密材料替换它们,用户可以通过更新 BIOS 来获取这些补丁或固件更新。
如果您的设备不再受支持并且不太可能收到 PKfail 的安全更新,建议限制对它的物理访问并将其与网络中更关键的部分隔离。
技术报告:https://www.binarly.io/blog/pkfail-two-months-later-reflecting-on-the-impact
链接:
https://www.bleepingcomputer.com/news/security/pkfail-secure-boot-bypass-remains-a-significant-risk-two-months-later/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):两个月后,PKfail 安全启动绕过仍然是一个重大风险
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论