攻撃者がセキュアブートをバイパスしてマルウェアをインストールすることを可能にするPKfailとして知られる重要なファームウェアサプライチェーンの問題により、10ベンダーの何百ものUEFI製品が侵害される可能性がある。
Binarly Research Teamが発見したように、影響を受けるデバイスは、American Megatrends International(AMI)が生成したテスト用のセキュアブート「マスターキー」(プラットフォームキー(PK)とも呼ばれる)を使用している。
「セキュア・ブート・データベースを管理し、ファームウェアからオペレーティング・システムまでの信頼の連鎖を維持するこのプラットフォーム・キーは、OEMやデバイス・ベンダーによって交換されないことが多く、その結果、信頼されていないキーでデバイスが出荷されることになる」とBinarly ResearchTeamは述べている。
813の製品で信頼されていないテスト・キーを使用していたUEFIデバイス・メーカーには、Acer、Aopen、Dell、Formelife、Fujitsu、Gigabyte、HP、Intel、Lenovo、Supermicroが含まれる。
2023年5月、BinarlyはIntel Boot Guardから流出した秘密鍵に関わるサプライチェーン・セキュリティ事件を発見し、複数のベンダーに影響を与えた。によって最初に報告されたように、マネー・メッセージ恐喝団は、同社のマザーボードで使用されているファームウェアのMSIソース・コードを流出させた。
このコードには、57のMSI製品の画像署名秘密鍵と、別の116のMSI製品のIntel Boot Guard秘密鍵が含まれていた。
今年初めには、American Megatrends International(AMI)からセキュアブートの「マスターキー」に関連する秘密鍵も流出し、さまざまな企業向けデバイスメーカーに影響を与えた。影響を受けたデバイスは現在も使用されており、この鍵は最近リリースされたエンタープライズ・デバイスで使用されている。
PKfail の影響と推奨事項
Binarly氏が説明するように、この問題の悪用に成功すると、脆弱なデバイスとプラットフォーム・キーのプライベート部分にアクセスできる脅威行為者は、キー交換キー(KEK)データベース、署名データベース(db)、および禁じられた署名データベース(dbx)を操作することで、セキュア・ブートをバイパスできるようになります。
ファームウェアからオペレーティングシステムまでのセキュリティチェーン全体を侵害した後、悪意のあるコードに署名することができ、CosmicStrandや BlackLotusのようなUEFIマルウェアを展開することができます。
「PKfailに脆弱な最初のファームウェアは2012年5月にリリースされ、最新のファームウェアは2024年6月にリリースされた。全体として、このサプライチェーンの問題は、この種の問題の中で最も長期にわたるものの1つであり、12年以上に及ぶものです」とBinarly氏は付け加えた。
「影響を受けるデバイスのリストは、現時点で900台近くあり、当社のBRLY-2024-005アドバイザリに掲載されています。スキャン結果を詳しく見ると、我々のプラットフォームは22個の信頼されていない鍵を抽出し、特定した。
PKfailを軽減するために、ベンダーは、ハードウェア・セキュリティ・モジュールなどの暗号鍵管理のベスト・プラクティスに従って、プラットフォーム鍵を生成し、管理することをお勧めします。
また、AMIのような独立系BIOSベンダーが提供するテスト・キーを、安全に生成された自社製のキーに置き換えることも不可欠です。
ユーザーは、デバイス・ベンダーが発行するファームウェア・アップデートを監視し、PKfailのサプライチェーン問題に対処するセキュリティ・パッチをできるだけ早く適用すべきである。
Binarlyはまた、ユーザーがファームウェア・バイナリを無料でスキャンし、PKfailに脆弱なデバイスや悪意のあるペイロードを発見するのに役立つpk.failウェブサイトも公開している。
Comments