最近,Binarly 的网络安全专家发现了一个令人震惊的漏洞,该漏洞影响了 10 家知名供应商的数百款 UEFI 产品。该漏洞被称为“PKfail”,它构成了严重威胁,因为它允许攻击者绕过安全启动并直接将恶意软件安装到系统固件中。
问题的核心:不值得信赖的平台关键
此漏洞的根源在于使用由 American Megatrends International (AMI) 生成的测试安全启动密钥(通常称为平台密钥 (PK))。这些密钥明确标记为“不信任”,旨在由设备供应商用他们自己安全生成的密钥替换。然而,在许多情况下,OEM 和设备供应商未能进行这一关键替换,导致设备出厂时使用的是不可靠的密钥。
平台密钥是 UEFI 系统安全不可或缺的一部分,它管理安全启动数据库并维护从固件到操作系统的信任链。由于未能用安全密钥替换这些密钥,许多设备都面临潜在的攻击。
风险普遍存在:超过 800 台设备存在漏洞
该漏洞影响范围非常广泛。受影响的制造商包括宏碁、Aopen、戴尔、Formelife、富士通、技嘉、惠普、英特尔、联想和超微等行业巨头。总共有 813 种产品面临风险。如果网络犯罪分子获得这些易受攻击设备的访问权限以及平台密钥的私有部分,他们就可以绕过安全启动保护。通过操纵密钥交换密钥、签名数据库和禁止签名数据库,攻击者可以破坏从固件到操作系统的整个安全链。此漏洞使他们能够签署和分发 CosmicStrand 和 BlackLotus 等 UEFI rootkit,进一步危及受影响系统的安全。
持久威胁:十余年以来的脆弱性
Binarly 的研究表明,该问题已持续存在 12 年多,第一个存在漏洞的固件于 2012 年 5 月发布,最新的固件发布于 2024 年 6 月。这使得 PKfail 成为同类漏洞中存在时间最长的漏洞之一,凸显了固件供应链中存在重大疏忽。
详细调查结果和缓解措施
更深入的分析显示,所检查的固件映像中有超过 10% 使用了不可信的平台密钥。Binarly 平台在近 900 台受影响的设备中识别出 22 个独特的不可信密钥,如漏洞描述BRLY-2024-005(链接见结尾)中所述,其 CVSS 评分为 8.2。
为了降低风险,Binarly 建议供应商使用硬件安全模块生成和管理平台密钥。他们应该用安全生成的专有密钥替换独立 BIOS 供应商提供的任何测试密钥。另一方面,敦促用户密切关注固件更新并及时应用与 PKfail 问题相关的所有安全补丁。
采取行动:用户资源
为了帮助用户识别和解决此漏洞,Binarly 推出了一个专门的网站pk.fail。该资源允许用户免费扫描固件二进制文件中的易受攻击的设备和恶意负载,为对抗这一重大安全威胁提供了重要工具。
总之,Binarly 研究团队发现的 PKfail 漏洞强调了固件供应链中强大的安全实践的重要性。通过解决这些漏洞并实施建议的保护措施,科技行业可以更好地防范未来威胁并确保 UEFI 系统的完整性。
威胁详情:
https://www.binarly.io/blog/pkfail-untrusted-platform-keys-undermine-secure-boot-on-uefi-ecosystem
https://www.binarly.io/advisories/brly-2024-005-usage-of-default-test-keys-leads-to-complete-secure-boot-bypass
https://pk.fail/
原文始发于微信公众号(独眼情报):Binarly 研究团队发现 UEFI 安全的新威胁
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论