Los atacantes pueden omitir el proceso de arranque seguro en millones de sistemas informáticos basados en microprocesadores Intel y ARM de múltiples proveedores porque todos comparten una clave criptográfica previamente revelada y utilizada en el proceso de arranque del dispositivo.
La clave de plataforma (PK) de American Megatrends International (AMI) sirve como raíz de confianza durante la cadena de arranque de PC con arranque seguro y verifica la autenticidad e integridad del firmware y el software de arranque de un PC.
Desafortunadamente, los investigadores del proveedor de seguridad de firmware Binarly descubrieron que la clave quedó expuesta públicamente en una violación de datos en 2018. “Esta clave probablemente se incluyó en [AMI’s] implementación de referencia con la esperanza de que sea reemplazada por otra clave generada de forma segura por entidades posteriores en la cadena de suministro”, Binarly dijo en una publicación sobre el tema. esta semana.
Problema de arranque seguro PKFail
Parece que un fabricante de equipos originales (OEM) utilizó la clave de prueba AMI para el firmware que produjo para varios fabricantes de dispositivos basados en Intel y ARM. El resultado es que hay potencialmente millones de dispositivos de consumo y empresariales en todo el mundo que actualmente utilizan la misma AMI PK que se vio comprometida durante el proceso de arranque seguro, afirma Alex Matrosov, director ejecutivo y fundador de Binarly. Los proveedores afectados incluyen Lenovo, HP, Asus y SuperMicro.
“Un atacante con acceso a la parte privada del PK puede Omita fácilmente el arranque seguro “manipulando la base de datos de claves de intercambio, la base de datos de firmas y la base de datos de firmas prohibidas”, dice Matrosov, quien denominó el problema “PKFail”. El problema facilita a los atacantes, entre otras cosas, la implementación de kits de arranque de Interfaz de firmware extensible unificada (UEFI) como el del año pasado. Loto negroque proporcionan acceso persistente y privilegios al kernel.
“La solución es simple: la clave comprometida debe ser reemplazada y los proveedores de dispositivos deben ofrecer una actualización del firmware”, dice Matrosov. Varios ya lo han hecho, señala. Sin embargo, en muchos casos, como en el caso de los servidores de centros de datos, por ejemplo, o de los sistemas utilizados en aplicaciones de misión crítica, la implementación de actualizaciones de firmware puede llevar algún tiempo.
“Explotar este problema es trivial en el caso de que el dispositivo se vea afectado”, dice, refiriéndose a un exploit de prueba de concepto (PoC) que Binarly desarrolló para PKFail. Matrosov recomienda que las organizaciones desconecten los dispositivos que contienen la AMI PK filtrada de las redes críticas hasta que puedan implementar una actualización de firmware.
Una llave maestra y un trato realmente importante
El problema de PKfail es un problema importante porque facilita a los piratas informáticos eludir el arranque seguro, que es como tener una llave maestra que abre muchos hogares, dijo Rogier Fischer, director ejecutivo de Hadrian, con sede en Holanda, en un comentario enviado por correo electrónico. “Dado que se utilizan las mismas claves en diferentes dispositivos, una sola falla puede afectar a muchos sistemas, haciendo que el problema se generalice”, dijo.
PKFail es la última manifestación de un problema que existe desde hace más de una década, a saber, la tendencia de los OEM y fabricantes de dispositivos a utilizar claves criptográficas de prueba y de no producción en firmware y dispositivos de producción, dice Matrosov. La AMI PK, por ejemplo, estaba claramente destinada a ser tratada como una clave completamente no confiable y, sin embargo, terminó en dispositivos de múltiples proveedores.
El informe de Binarly citó un incidente en 2016, seguido de CVE-2016-5247, Los investigadores de seguridad descubrieron varios dispositivos Lenovo que compartían la misma clave de prueba AMI. En ese momento, la Base de Datos Nacional de Vulnerabilidad describió el problema como que permitía a “usuarios locales o atacantes físicamente próximos eludir el mecanismo de protección de arranque seguro explotando una clave de prueba AMI”.
En última instancia, PKFail es una manifestación de prácticas deficientes de gestión de claves criptográficas en la cadena de suministro de dispositivos, afirmó Binarly en su informe.
“Es un problema enorme”, afirma Matrosov. “Imagínese un edificio donde todas las cerraduras de las puertas tienen las mismas llaves. Si se perdiera una llave, podría crear problemas para todos. »