Centenas de produtos UEFI de 10 fabricantes estão suscetíveis a comprometimentos devido a um problema crítico na cadeia de suprimentos de firmware conhecido como PKfail, que permite aos atacates contornar o Secure Boot e instalar malware.
Conforme encontrado pela Binarly Research Team, os dispositivos afetados usam uma "master key" de Secure Boot para teste—também conhecida como Platform Key (PK)—gerada pela American Megatrends International (AMI), que foi marcada como "DO NOT TRUST" e que os fornecedores a montante deveriam ter substituído por suas próprias chaves geradas de forma segura.
"Essa Platform Key, que gerencia as bases de dados do Secure Boot e mantém a cadeia de confiança do firmware para o sistema operacional, muitas vezes não é substituída pelos OEMs ou fabricantes de dispositivos, resultando em dispositivos expedidos com chaves não confiáveis," disse a Binarly Research Team.
Os fabricantes de dispositivos UEFI que utilizaram chaves de teste não confiáveis em 813 produtos incluem Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo e Supermicro.
Em maio de 2023, a Binarly descobriu um incidente de segurança na cadeia de suprimentos envolvendo chaves privadas vazadas do Intel Boot Guard, impactando diversos fabricantes.
O código continha chaves privadas de assinatura de imagem para 57 produtos MSI e chaves privadas do Intel Boot Guard para outros 116 produtos MSI.
No início deste ano, uma chave privada da American Megatrends International (AMI) relacionada à "master key" do Secure Boot também foi vazada, afetando diversos fabricantes de dispositivos empresariais.
Os dispositivos impactados ainda estão em uso, e a chave está sendo usada em dispositivos empresariais recém-lançados.
Conforme explica a Binarly, explorar essa questão com sucesso permite que atores de ameaças com acesso aos dispositivos vulneráveis e a parte privada da Platform Key contornem o Secure Boot manipulando a base de dados Key Exchange Key (KEK), a Signature Database (db) e a Forbidden Signature Database (dbx).
Após comprometer toda a cadeia de segurança, do firmware ao sistema operacional, eles podem assinar código malicioso, permitindo que implantem malware UEFI como CosmicStrand e BlackLotus.
"O primeiro firmware vulnerável a PKfail foi lançado em maio de 2012, enquanto o mais recente foi lançado em junho de 2024. No geral, isso faz dessa questão de cadeia de suprimentos uma das mais duradouras do seu tipo, abrangendo mais de 12 anos," acrescentou a Binarly.
A lista de dispositivos afetados, que no momento contém quase 900 dispositivos, pode ser encontrada em nosso advisory BRLY-2024-005.
Uma análise mais detalhada dos resultados da varredura revelou que nossa plataforma extraiu e identificou 22 chaves únicas não confiáveis.
Para mitigar o PKfail, aconselha-se que os fabricantes gerem e gerenciem a Platform Key seguindo as melhores práticas de gerenciamento de chaves criptográficas, como Módulos de Segurança de Hardware.
Também é essencial substituir quaisquer chaves de teste fornecidas por fornecedores independentes de BIOS como a AMI por suas próprias chaves geradas de forma segura.
Os usuários devem monitorar atualizações de firmware emitidas pelos fabricantes de dispositivos e aplicar quaisquer patches de segurança que abordem a questão do PKfail na cadeia de suprimentos o mais rápido possível.
A Binarly também publicou o site pk.fail, que ajuda usuários a escanear binários de firmware gratuitamente para encontrar dispositivos vulneráveis ao PKfail e payloads maliciosos.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...