Cientos de productos UEFI de 10 proveedores son susceptibles de verse comprometidos debido a un problema crítico en la cadena de suministro de firmware conocido como PKfail, que permite a los atacantes eludir el arranque seguro e instalar malware.
Como descubrió el equipo de investigación de Binarly, los dispositivos afectados utilizan una “clave maestra” de arranque seguro de prueba, también conocida como clave de plataforma (PK), generada por American Megatrends International (AMI), que fue etiquetada como “NO CONFIANZA” y que los proveedores originales deberían haber reemplazado con sus propias claves generadas de forma segura.
“Esta clave de plataforma, que administra las bases de datos de arranque seguro y mantiene la cadena de confianza desde el firmware hasta el sistema operativo, a menudo no es reemplazada por los OEM o los proveedores de dispositivos, lo que da como resultado que los dispositivos se envíen con claves que no son confiables”, dijo el equipo de investigación de Binarly. dicho.
Los fabricantes de dispositivos UEFI que utilizaron claves de prueba no confiables 813 productos incluyen Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo y Supermicro.
En mayo de 2023, Binarly descubrió un incidente de seguridad en la cadena de suministro que involucraba claves privadas filtradas de Intel Boot Guard, lo que afectó a varios proveedores. Como lo informó por primera vez BleepingComputer, la banda de extorsión Money Message Código fuente filtrado de MSI para el firmware utilizado por las placas base de la empresa.
El código contenía claves privadas de firma de imágenes para 57 productos MSI y claves privadas Intel Boot Guard para otros 116 productos MSI.
A principios de este año, también se filtró una clave privada de American Megatrends International (AMI) relacionada con la “clave maestra” de Secure Boot, lo que afectó a varios fabricantes de dispositivos empresariales. Los dispositivos afectados todavía están en uso y la clave se está utilizando en dispositivos empresariales lanzados recientemente.
Impacto de PKfail y recomendaciones
Como explica Binarly, explotar con éxito este problema permite a los actores de amenazas con acceso a dispositivos vulnerables y a la parte privada de la clave de plataforma eludir el arranque seguro manipulando la base de datos de clave de intercambio de claves (KEK), la base de datos de firmas (db) y la base de datos de firmas prohibidas (dbx).
Después de comprometer toda la cadena de seguridad, desde el firmware hasta el sistema operativo, pueden firmar código malicioso, lo que les permite implementar malware UEFI como Hilo cósmico y Loto negro.
“El primer firmware vulnerable a PKfail se lanzó en mayo de 2012, mientras que el último se lanzó en junio de 2024. En general, esto hace que este problema de la cadena de suministro sea uno de los más duraderos de su tipo, con una duración de más de 12 años”, agregó Binarly.
“La lista de dispositivos afectados, que en este momento contiene casi 900 dispositivos, se puede encontrar en nuestra Aviso BRLY-2024-005Un análisis más detallado de los resultados del análisis reveló que nuestra plataforma extrajo e identificó 22 claves únicas que no eran de confianza”.
Para mitigar PKfail, se recomienda a los proveedores generar y administrar la clave de plataforma siguiendo las mejores prácticas de administración de claves criptográficas, como los módulos de seguridad de hardware.
También es esencial reemplazar cualquier clave de prueba proporcionada por proveedores de BIOS independientes como AMI con sus propias claves generadas de forma segura.
Los usuarios deben monitorear las actualizaciones de firmware emitidas por los proveedores de dispositivos y aplicar cualquier parche de seguridad que aborde el problema de la cadena de suministro de PKfail lo antes posible.
Binarly también publicó el sitio web pk.failque ayuda a los usuarios a escanear binarios de firmware de forma gratuita para encontrar dispositivos vulnerables a PKfail y cargas útiles maliciosas.
