Bilgisayar korsanları, genellikle önyükleme işlemi sırasında güvenli önyüklemeye saldırarak yetkisiz kod çalıştırırlar ve bu da onlara sistemin güvenlik önlemlerini aşma olanağı verir.
Güvenli Önyüklemeyi tehlikeye atarak, düşük seviyede rootkit’ler ve kötü amaçlı yazılımlar yükleyebilir, sistem üzerinde kalıcı kontrol elde edebilir ve geleneksel güvenlik savunmalarından kaçınabilirler.
Binarly Araştırma Ekibi, 2023 yılında “PKfail” kod adlı önemli bir tedarik zinciri güvenlik sorunu keşfetti. Bu sorun, AMI AMI’den Secure Boot’un Platform Anahtarının (PK) sızdırılan özel anahtarlarını içeriyordu.
PKfail, UEFI ekosistemindeki cihazların %10’undan fazlasını etkileyen bir donanım yazılımı tedarik zinciri hatasıdır.
Bağımsız BIOS Satıcıları tarafından oluşturulan ve farklı üreticiler arasında paylaşılan güvenilmeyen Platform Anahtarlarının (PK) kullanılmasından kaynaklanmaktadır.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
PKfail Ürün Yazılımı Tedarik Zinciri Sorunu
Bu olay, ABD merkezli kurumsal ürün üreticileri gibi pek çok cihaz satıcısını etkiledi ve zayıf şifreleme uygulamalarının yanı sıra üretim yazılımında kullanılan üretim dışı anahtarları açığa çıkardı.
Bu sorun, daha önce Intel Boot Guard anahtarının sızdırılmasında olduğu gibi, çeşitli ürün gruplarını ve üreticileri etkiliyor.
Buna yanıt olarak Binarly, savunmasız cihazları ve kötü amaçlı yükleri tespit etmek için ücretsiz bir tarama aracı olan PK.fail’i geliştirdi. Ayrıca, sorumlu ifşa ve azaltma stratejileri konusunda CERT/CC ile çalıştılar.
Binarly’nin işbirlikli ifşa süreci sırasında XPS 8960 Masaüstü gibi bazı Dell ürünlerinde PKfail güvenlik açığı tespit edildi.
Bu cihazların Güvenli Önyükleme değişkenlerini AMI’nin varsayılan üretim dışı Platform Anahtarı (PK) ile başlattığı ve dolayısıyla saldırılara karşı savunmasız hale getirdiği tespit edildi.
Bu amaçla, istismarı doğrulamak için canlı aygıt yazılımı dökümlerinden NVRAM değişkenleri analiz edildi. Ancak, Dell’in bazılarında etkili bir azaltma stratejisi vardı.
DellSecureBootSmm {d54a91f0-4547-4380-8890-17c19937f853} modülü, AMI’nin varsayılan değerlerini modülün veri bölümündeki sabit kodlu Dell’e özgü Güvenli Önyükleme değişkenlerine değiştirerek bunu hafifletir.
Bunun nedeni, Dell’in ürün yelpazesinde kullanılan iki farklı yaklaşımdır ve bu da şirketin çeşitli ürün yelpazeleri arasında güvenlik tutarlılığını sağlamanın ne kadar zor olduğunu ortaya koymaktadır.
Bu rapor, donanım yazılımı güvenliğinde uygun kriptografik anahtar yönetiminin kritik önemini vurguluyor ve tedarikçi-araştırmacı işbirliğinin karmaşık güvenlik sorunlarını belirlemeye ve çözmeye nasıl yardımcı olabileceğini vurguluyor.
Bunun yanı sıra Binarly’nin taraması 22 farklı güvenilmeyen anahtarı ortaya çıkardı; bunlardan en sık görüleni American Megatrends International’ın test anahtarıydı.
Bu çapraz silikon sorunu, donanım yazılımı tedarik zincirlerinde kriptografik anahtar yönetiminin önemini vurgular ve test anahtarlarının, belki de donanım güvenlik modülleri kullanılarak güvenli bir şekilde oluşturulan anahtarlarla değiştirilmesini savunur.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo