PKfail, Donanım Yazılımı Kötü Amaçlı Yazılımları İçin Yeni Keşfedilen Bir Yoldur

Uç Nokta Güvenliği, Donanım / Çip Düzeyinde Güvenlik

UEFI Geliştiricisi Güvenli Önyükleme Asimetrik Anahtarını Sızdırdı

Prajeet Nair (@prajeetskonuşuyor) •
26 Temmuz 2024

Kaliforniya’daki tedarik zinciri girişimi Binarly’nin araştırmacıları, ana akım üreticilere ait yüzlerce dizüstü bilgisayar ve sunucu modelinin, bilgisayar başlatılırken yalnızca güvenilir yazılımların yüklenebilmesini sağlamayı amaçlayan korumaları aşan bir saldırı riski altında olduğu konusunda uyarıyor.

Ayrıca bakınız: Windows 10 Desteğinin Sonuna Doğru Sorunsuz Bir Yolculuk Sağlayın

Los Angeles merkezli şirket, Perşembe günü yayınladığı raporda, American Megatrends International tarafından yapılan kitlerle geliştirilen anakartlara gömülü Secure Boot korumalarını zayıflatan bir dizi tedarik zinciri hatasının ayrıntılarını verdi. Bu güvenlik açığına PKfail adını verdi.

Önyükleme sırasında yüklenen kötü amaçlı yazılım, bilgisayar korsanlarının antivirüs uygulamaları tarafından tespit edilmekten kaçınmasını ve işletim sistemi yeniden yüklemelerinden sağ çıkmasını sağlar. Donanım üreticileri ve işletim sistemi geliştiricilerinden oluşan bir konsorsiyum, yalnızca güvenilir yazılımların işletim sistemi devralmadan önce yüklenebilmesini sağlamak için Güvenli Önyükleme olarak bilinen özellikleri içeren Birleşik Genişletilebilir Ürün Yazılımı Arayüzü önyükleme standardını kontrol eder.

Araştırmacılar ve bilgisayar korsanları, standarda ve uygulamalarına yönelik araştırmalarını yoğunlaştırdılar ve giderek artan bir şekilde, düzeltmesi zor olan bilgi işlem katmanında güvenlik açıkları buldular (bkz: LogoFAIL Önyükleme Kusuru Yüzlerce Cihazı Tehlikeye Atıyor).

ABD federal hükümeti geçen ağustos ayında bilgisayar üreticilerini UEFI güvenliğini iyileştirmeye çağırarak, sistem sahiplerinin UEFI bileşenlerini diğer bilgisayar yazılımlarında olduğu gibi denetleyebilmelerini ve yönetebilmelerini önerdi (bkz: ABD CISA Temel Bilgisayar Bileşenlerinde İyileştirmeler Yapılmasını İstiyor).

Binarly tarafından tespit edilen açık, Aralık 2022’de bir GitHub deposunda -görünüşe göre yanlışlıkla- yayınlanan bir AMI şifreleme anahtarından kaynaklanıyor. Anahtar şifrelenmişti, ancak dört karakterli bir parola ile korunuyordu, bu da şifresinin çözülmesini oldukça kolaylaştırıyordu.

Güvenli Önyükleme asimetrik şifrelemeye dayanır. Bir şifreleme anahtarı zinciri, UEFI protokolünün güvenilir önyükleme bileşenlerini doğrulamak ve bileşenlerin kara listede olmadığını kontrol etmek için kullandığı veritabanlarına götürür. İşlemin kökünde, güven zincirini başlatan genel-özel anahtar olan “platform anahtarı” bulunur. Bu, 2022’de sızdırılan anahtardır. Seri numarasıyla tanımlanabilir, 55:fb:ef:87:81:23:00:84:47:17:0b:b3:cd:87:3a:f4.

Anahtar çiftine erişimi olan ve bir bilgisayara ayrıcalıklı erişimi olan herhangi bir bilgisayar korsanı, önyükleme sırasında açılmasına izin verilen güvenilir ve güvenilmeyen yazılımlar için imza veritabanlarını zehirlemek için bu anahtarı kullanabilir. Binarly, Acer, Dell, Gigabyte, Intel, Lenovo ve Supermicro tarafından üretilen ürünler de dahil olmak üzere 200’den fazla etkilenen cihazı tespit etti. Hem x86 hem de ARM cihazları PKFail’den etkileniyor.

Üreticiler tamamen suçsuz değiller, zira sızdırılan AMI platform anahtarı, cihaz satıcılarının kök anahtarı kendi asimetrik anahtar çiftleriyle değiştireceği beklentisiyle “güvenilmez” veya “gönderilmez” olarak etiketlendi.

Information Security Media Group, AMI ile iletişime geçmeye çalıştı ancak geri dönüş alamadı. Perşembe günü yayınlanan bir blog yazısında, AMI yöneticisi Stefano Righi şirketin müşterilerine “test” platform anahtarlarını vermeye devam edeceğini söyledi. Righi, “AMI, BIOS kurulum ekranlarında uyarılar içeren kod yapılarında test anahtarları kullanıldığında kullanıcıya test anahtarlarının mevcut olduğunu bildiren ortak uyarıları gibi, ürün yazılımına kademeli olarak güvenlik önlemleri ekledi,” dedi.

AMI, üç büyük ticari UEFI satıcısından biridir ancak diğer ikisi, Phoenix Technologies ve Insyde Software, üreticilerin test anahtarlarıyla ürün göndermesini engelleyen bir mekanizmaya sahip gibi görünüyor, Binarly sonucuna vardı. Araştırmacılar, en azından 2016’dan beri, koşul CVE-2016-5247 olarak belirlendiğinde, vahşi doğada “güvenilmez” olarak işaretlenmiş Güvenli Önyükleme sertifikaları tespit ettiler.

Binarly tarafından yapılan ek bir araştırma, sızdırılan PKfail asimetrik anahtar çiftiyle aynı tuzaktan etkilenen UEFI aygıt yazılımı görüntülerinin 2012’den beri üreticiler tarafından kullanıldığını buldu. Binarly, Acer, Dell ve Samsung dahil olmak üzere üreticiler tarafından yapılan bilgisayarlarda bulunan toplam 22 benzersiz, güvenilmeyen platform anahtarı tespit etti.

Lenovo, Ars Technica’ya “hiçbir desteklenen Lenovo sisteminin Binarly’nin PKFail araştırma makalesinde iddia ettiği senaryoya maruz kalmadığını” söyledi. HP, Fujitsu ve Intel, PKFail’den etkilenen cihazların durdurulduğunu veya kullanım ömürlerinin dolduğunu söyledi. Supermicro, yayın kuruluşuna “çoğunlukla eski nesil sistemlerdeki Platform Key sorunlarını BIOS güncellemeleriyle ele aldığını” söyledi.

PKfail’e karşı bireylerin yapabileceği çok az şey vardır, makinelerine erişimi güvence altına almak ve sorunu çözen herhangi bir aygıt yazılımı güncellemesini uygulamak dışında. Binarly, kullanıcıların PKfail’i kontrol etmek için aygıt yazılımı ikili dosyalarını yüklemelerine olanak tanıyan bir web sitesi oluşturdu.