Saldırganlar şunları yapabilir: Güvenli Önyükleme sürecini atla Birden fazla satıcıya ait milyonlarca Intel ve ARM mikroişlemci tabanlı bilgi işlem sisteminde, çünkü bunların hepsi cihaz başlatma sürecinde kullanılan ve daha önce sızdırılmış bir şifreleme anahtarını paylaşıyor.
American Megatrends International (AMI) tarafından geliştirilen Platform Anahtarı (PK), Güvenli Önyükleme PC başlatma zinciri sırasında güvenin temelini oluşturur ve cihazın donanım yazılımının ve önyükleme yazılımının gerçekliğini ve bütünlüğünü doğrular.
Ne yazık ki, donanım yazılımı güvenlik sağlayıcısı Binarly’den araştırmacılar, anahtarın 2018’deki bir veri sızıntısında kamuya açıklandığını keşfettiler. “Bu anahtar muhtemelen [AMI’s] “Tedarik zincirindeki alt akış varlıkları tarafından güvenli bir şekilde üretilen başka bir anahtarla değiştirileceği beklentisiyle referans uygulaması,” Binarly konuyla ilgili bir paylaşımda şunları söyledi: Bu hafta.
PKFail Güvenli Önyükleme Sorunu
Görünen o ki olan şey, orijinal ekipman üreticisinin (OEM) farklı Intel ve ARM tabanlı cihaz üreticileri için ürettiği aygıt yazılımı için AMI test anahtarını kullanması. Sonuç olarak, güvenli önyükleme işlemi sırasında şu anda aynı tehlikeye atılmış AMI PK’yi kullanan dünya çapında potansiyel olarak milyonlarca tüketici ve kurumsal cihaz var, diyor Binarly’nin CEO’su ve kurucusu Alex Matrosov. Etkilenen satıcılar arasında Lenovo, HP, Asus ve SuperMicro yer alıyor.
“PK’nın özel kısmına erişimi olan bir saldırgan, Güvenli Önyüklemeyi kolayca atlatın Matrosov, “Anahtar Değişim Anahtarı veritabanını, İmza Veritabanını ve Yasak İmza Veritabanını manipüle ederek” diyor ve sorunu “PKFail” olarak adlandırıyor. Sorun, saldırganların diğer şeylerin yanı sıra, geçen yılki gibi Birleşik Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) önyükleme kitlerini dağıtmalarını kolaylaştırıyor SiyahLotusKalıcı çekirdek erişimi ve ayrıcalıkları sunan.
“Çözüm kolay: Tehlikeye atılan anahtarın değiştirilmesi ve cihaz satıcılarının bir aygıt yazılımı güncellemesi göndermesi gerekiyor,” diyor Matrosov. Birçoğunun bunu zaten yaptığını belirtiyor. Ancak birçok durumda — örneğin veri merkezi sunucularında veya kritik uygulamalarda kullanılan sistemlerde olduğu gibi — aygıt yazılımı güncellemelerinin dağıtılması biraz zaman alabilir.
“Cihaz etkilendiğinde bu sorunun istismarı önemsizdir,” diyor ve Binarly’nin PKFail için geliştirdiği bir kavram kanıtı istismarına (PoC) işaret ediyor. Matrosov, kuruluşların sızdırılan AMI PK’ya sahip cihazları kritik ağlardan, bir aygıt yazılımı yükseltmesi dağıtabilene kadar ayırmalarını öneriyor.
Bir Anahtar ve Gerçekten Büyük Bir Anlaşma
PKfail sorunu büyük bir sorun çünkü bilgisayar korsanlarının Güvenli Önyüklemeyi atlatmasını kolaylaştırıyor, bu da birçok evi açan bir ana anahtara sahip olmak gibi, diyor Hollanda merkezli Hadrian’ın CEO’su Rogier Fischer e-postayla gönderdiği bir yorumda. “Aynı anahtarlar farklı cihazlarda kullanıldığından, tek bir ihlal birçok sistemi etkileyebilir ve bu da sorunu yaygın hale getirebilir,” diyor.
Matrosov, PKFail’in on yıldan uzun süredir var olan bir sorunun tek son tezahürü olduğunu, bunun da OEM’ler ve cihaz üreticilerinin üretim dışı ve test kriptografik anahtarlarını üretim yazılımında ve cihazlarda kullanma eğilimi olduğunu söylüyor. Örneğin AMI PK’nın tamamen güvenilmez olarak ele alınması açıkça amaçlanmıştı ve yine de birden fazla satıcıdan gelen cihazlarda sona erdi.
Binarly’nin raporu, 2016 yılında yaşanan bir olaya işaret ediyor CVE-2016-5247, Güvenlik araştırmacılarının aynı AMI test PK’sini paylaşan birden fazla Lenovo cihazı keşfettiği yer. O zamanlar, Ulusal Güvenlik Açığı Veritabanı sorunu “yerel kullanıcıların veya fiziksel olarak yakın saldırganların bir AMI test anahtarı kullanarak Güvenli Önyükleme koruma mekanizmasını atlatmasına” izin vermek olarak tanımladı.
Binarly raporunda, PKFail’in sonuç olarak cihaz tedarik zincirindeki zayıf kriptografik anahtar yönetim uygulamalarının bir tezahürü olduğu belirtildi.
“Bu çok büyük bir sorun,” diyor Matrosov. “Tüm kapı kilitlerinin aynı anahtarlara sahip olduğu bir apartman kompleksini düşünün. Bir anahtar kaybolursa, herkes için sorun yaratabilir.”