一个被称为"PKfail"的新漏洞让Secure Boot功能在数百台 PC 和数个主要科技品牌的设备上失效。网络安全公司 Binarly 的研究人员刚刚发布了一份重磅报告,显示了一个泄露的加密密钥是如何让 200 多种产品型号的Secure Boot功能失去安全保障的。
"Secure Boot"是由 PC 行业成员创建的一项安全标准,旨在确保设备只能使用经相关原始设备制造商验证和信任的软件启动。这一新的安全漏洞源于为多家美国制造商工作的某人在 2022 年底意外泄露了Secure Boot的"平台密钥"。
该密钥是宏碁、戴尔、技嘉、英特尔和超微等厂商设备上整个Secure Boot过程的关键信任根。根据 Ars Technica 的报道,一名员工将包含加密平台密钥的源代码发布到了 GitHub 公共仓库,他们用一个弱得可笑的 4 个字符的密码来保护它,而这个密码很容易就被破解了。
虽然这次泄露最初没有引起注意,但比纳利的研究人员在 2023 年 1 月偶然发现了它。他们的研究结果表明,这个被泄露的平台密钥被多个大牌科技品牌的数百个不同产品线重复使用,令人不安。这也是一个跨硅问题,因为它同时影响 x86 和 Arm 设备。
从本质上讲,这意味着恶意行为者可以通过签署恶意代码绕过Secure Boot,并加载像臭名昭著的 BlackLotus 这样令人讨厌的固件植入。鉴于微软已将Secure Boot作为 Windows 11 的一项要求,并且多年来一直在推动该技术以确保系统免受 BIOS rootkit 的攻击,上述发现尤其令人担忧。
这种影响也已经持续了十年。Binarly 对 2012 年的 UEFI 固件镜像进行了分析,发现有超过 10% 的固件镜像因使用了这些不受信任的密钥而受到影响,而不是按原定计划使用制造商生成的安全密钥。即使只看过去 4 年,仍有 8% 的固件存在这个问题。
这是一个明显的供应链失误,暴露了一些供应商在处理关键平台安全问题时是多么的马虎。这些问题包括在消费和企业设备系列中重复使用相同的密钥、使用非生产性加密材料运输产品,以及未能定期轮换密钥。Binarly 强调了这些与设备供应链安全相关的安全问题,这些问题导致了此次漏洞的发生。
对于设备所有者和 IT 管理员来说,Binarly 建议首先检查自己的设备是否被列入漏洞公告,并迅速应用供应商提供的任何相关固件补丁。
此外,该公司还指出,设备供应商应确保按照加密密钥管理的最佳实践(如使用硬件安全模块)生成和管理平台密钥。他们还应使用安全生成的密钥替换提供的任何测试密钥。