Более 800 версий оболочек UEFI беззащитны перед угрозой вредоносов
Вендоры уже 12 лет оставляют в некоторых версиях оболочек UEFI слабый мастер-ключ, позволяющий обходить безопасную загрузку и устанавливать вредоносные программы.
Не доверяй и проверяй
Более чем в 800 программных оболочках UEFI от разных вендоров используется слабый мастер-ключ, который позволяет обходить защиту процедуры Secure Boot («Безопасная загрузка») и устанавливать в целевую систему вредоносы.
Как выяснили эксперты компании Binarly Research Team, в UEFI-оболочках по ошибке используется платформенный ключ (PK), сгенерированный American Megatrends International. Этот ключ снабжен пометкой о его ненадежности (DO NOT TRUST), и конечные вендоры должны были заменить его на собственные, безопасно сгенерированные, ключи.
Ключ безопасности защищает базы данных Secure Boot и обеспечивает цепочку доверия между программной оболочкой UEFI и операционной системой. Без надежного ключа меры безопасности Secure Boot не имеют значения. Тем не менее, многие вендоры, – а конкретнее, Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro – упустили это из виду и выпустили UEFI-оболочки, не меняя ключ.
Как следствие, поясняют эксперты Binarly, у злоумышленников появляется возможность получать доступ к приватному компоненту платформенного ключа, производить манипуляции с базами данных Key Exchange Key (обмен ключами), Signature Database (база сигнатур) и Forbidden Signature Database (база запрещенных сигнатур). Это открывает возможность для присвоения вредоносному коду цифровой подписи и установки вредоносов прямиком в UEFI. Среди примеров такого вредоносного ПО – CosmicStrand и BlackLotus.
В Binarly отметили, что первая оболочка UEFI с этой уязвимостью (она получила название PKfail) была выпущена в мае 2012 г., а самая недавняя – в июне 2024 г., то есть проблема сохраняется на протяжении 12 лет. Эксперты Binarly отметили, что в целом им удалось определить 22 ненадежных ключа.
Работа над ошибками
Для устранения проблемы вендорам придется сгенерировать безопасные платформенные ключи и выпустить новые версии оболочек UEFI, причем как можно скорее.
«Ситуация, по меньшей мере, неприятная уже тем, что выявлять вредоносы, установленные на уровне UEFI, может быть очень сложно, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Они запускаются до старта операционной системы и стандартные средства безопасности их не обнаружат. Для конечных пользователей очень важно регулярно проверять наличие обновлений к UEFI и устанавливать их, не теряя времени: как правило, обновления выпускаются как раз в связи с подобными уязвимостями. Пусть даже и не столь масштабными».
Это уже не первый случай, когда эксперты Binarly выявляют проблемы c секретными ключами в различных системах.
В мае 2023 г. эта компания первой идентифицировала инцидент с утечкой секретных ключей из Intel Boot Guard, затронувшей нескольких вендоров. Одна из вымогательских группировок – Money Message – тогда опубликовала утекшие исходники оболочек материнских плат MSI, содержавшие средства подписи секретных ключей 57 продуктов MSI, и секретные ключи из Intel Boot Guard еще к 116 продуктам MSI.
Кроме того, ранее в 2024 г. из American Megatrends International произошла утечка приватного ключа, относившегося к мастер-ключу для нескольких производителей корпоративного оборудования. Многие из этих устройств по-прежнему используются, как и утекший ключ.
Специалисты Binarly создали веб-сайт, который позволяет проверять оболочки UEFI на предмет данной уязвимости.