一个被称为"PKfail"的新漏洞让SecureBoot功能在数百台PC和数个主要科技品牌的设备上失效。网络安全公司Binarly的研究人员刚刚发布了一份重磅报告,显示了一个泄露的加密密钥是如何让200多种产品型号的SecureBoot功能失去安全保障的。
"SecureBoot"是由PC行业成员创建的一项安全标准,旨在确保设备只能使用经相关原始设备制造商验证和信任的软件启动。这一新的安全漏洞源于为多家美国制造商工作的某人在2022年底意外泄露了SecureBoot的"平台密钥"。
该密钥是宏碁、戴尔、技嘉、英特尔和超微等厂商设备上整个SecureBoot过程的关键信任根。根据ArsTechnica的报道,一名员工将包含加密平台密钥的源代码发布到了GitHub公共仓库,他们用一个弱得可笑的4个字符的密码来保护它,而这个密码很容易就被破解了。
虽然这次泄露最初没有引起注意,但比纳利的研究人员在2023年1月偶然发现了它。他们的研究结果表明,这个被泄露的平台密钥被多个大牌科技品牌的数百个不同产品线重复使用,令人不安。这也是一个跨硅问题,因为它同时影响x86和Arm设备。
从本质上讲,这意味着恶意行为者可以通过签署恶意代码绕过SecureBoot,并加载像臭名昭著的BlackLotus这样令人讨厌的固件植入。鉴于微软已将SecureBoot作为Windows11的一项要求,并且多年来一直在推动该技术以确保系统免受BIOSrootkit的攻击,上述发现尤其令人担忧。
这种影响也已经持续了十年。Binarly对2012年的UEFI固件镜像进行了分析,发现有超过10%的固件镜像因使用了这些不受信任的密钥而受到影响,而不是按原定计划使用制造商生成的安全密钥。即使只看过去4年,仍有8%的固件存在这个问题。
这是一个明显的供应链失误,暴露了一些供应商在处理关键平台安全问题时是多么的马虎。这些问题包括在消费和企业设备系列中重复使用相同的密钥、使用非生产性加密材料运输产品,以及未能定期轮换密钥。Binarly强调了这些与设备供应链安全相关的安全问题,这些问题导致了此次漏洞的发生。
对于设备所有者和IT管理员来说,Binarly建议首先检查自己的设备是否被列入漏洞公告,并迅速应用供应商提供的任何相关固件补丁。
此外,该公司还指出,设备供应商应确保按照加密密钥管理的最佳实践(如使用硬件安全模块)生成和管理平台密钥。他们还应使用安全生成的密钥替换提供的任何测试密钥。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】