Hackers clonam chaves FIDO de YubiKey
5 de Setembro de 2024

Uma nova falha, denominada "EUCLEAK", foi encontrada em dispositivos FIDO que utilizam o microcontrolador de segurança Infineon SLE78, como a série YubiKey 5 da Yubico, permitindo que atacantes extraiam chaves secretas do Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA) e clonem o dispositivo FIDO.

Thomas Roche, da NinjaLab, que descobriu a falha e desenvolveu o ataque de canal lateral EUCLEAK, observa que o canal lateral pode recuperar uma chave secreta ECDSA usando aquisições EM.

No entanto, o ataque requer acesso físico prolongado, equipamento especializado e um alto nível de entendimento de eletrônica e criptografia.

Esses pré-requisitos mitigam significativamente o risco, limitando-o principalmente a ataques de atores de ameaças altamente sofisticados e patrocinados pelo estado contra alvos de alto valor.

Dito isto, o EUCLEAK não é considerado uma ameaça para usuários gerais, mesmo para aqueles que usam dispositivos teoricamente vulneráveis.

Em 2021, Roche encontrou um ataque de canal lateral que visava as chaves de segurança Google Titan, permitindo-lhe extrair a chave privada ECDSA e clonar o dispositivo.

A falha afeta os dispositivos da série YubiKey 5 que operam com versões de firmware anteriores à 5.7.0, que utilizam a biblioteca criptográfica defeituosa da Infineon.

Os modelos impactados pelo EUCLEAK são:

- Versões da série YubiKey 5 anteriores à 5.7
- Série YubiKey 5 FIPS anterior à 5.7
- Série YubiKey 5 CSPN anterior à 5.7
- Versões da série YubiKey Bio anteriores à 5.7.2
- Série Security Key todas as versões anteriores à 5.7
- Versões YubiHSM 2 anteriores à 2.4.0
- Versões YubiHSM 2 FIPS anteriores à 2.4.0

O fornecedor classificou o problema como moderado, atribuindo um escore CVSS de apenas 4.9, o que reflete seu baixo risco.

Além disso, a Yubico observa em seu comunicado que atacantes tentando recuperar credenciais de chaves impactadas precisariam do PIN do usuário ou da verificação biométrica para a exploração completa, tornando ataques bem-sucedidos ainda mais difíceis.

Os proprietários do YubiKey podem verificar a versão do firmware de suas chaves de segurança usando o YubiKey Manager ou o YubiKey Authenticator.

Infelizmente, se você estiver usando uma versão vulnerável, não há como atualizar o firmware para as versões mais recentes 5.7.0 (YubiKey) ou 2.4.0 (YubiHSM) para mitigar essa falha.

O fornecedor recomenda o uso de chaves de assinatura RSA em vez de chaves de assinatura de curva elíptica (ECC) e limitar a duração máxima da sessão a partir das configurações do provedor de identidade para exigir autenticações FIDO mais frequentes.

A NinjaLab confirmou que o EUCLEAK também impacta os TPMs da Infineon (SLB96xx), usados para boot seguro, autenticação e operações criptográficas, e o microcontrolador de segurança Optiga Trust M da Infineon, usado em dispositivos IoT.

Os TPMs da Infineon são utilizados nas enclaves inteligentes de smartphones e tablets antigos (entre 2013 e 2018) de Samsung e OnePlus, além de alguns modelos de laptops datados (de meados da década de 2010) de Lenovo, Acer, Dell, HP e LG.

O Feitian A22 JavaCard, usado em cartões inteligentes e sistemas de autenticação, também é impactado por usar o microcontrolador Infineon SLE78.

Outros dispositivos potencialmente impactados incluem e-passaportes, carteiras de hardware de criptomoedas (cold wallets), dispositivos IoT e qualquer dispositivo FIDO que utilize o SLE78 da Infineon.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...