I ricercatori di Binarly hanno scoperto che Secure Boot è completamente compromesso su quasi 900 prodotti di Acer, Dell, Fujitsu, Gigabyte, HP, Intel, Lenovo e Supermicro. Il problema di sicurezza, denominato PKfail, è dovuto alla divulgazione online di una chiave crittografica di AMI (American Megatrends International). Un sito dedicato permette di verificare se il firmware UEFI è vulnerabile.
Secure Boot non protegge contro i bootkit
Secure Boot è una funzionalità dei firmware UEFI che dovrebbe bloccare l’esecuzione dei bootkit, malware caricati all’avvio del computer che sono difficili da individuare e rimuovere. Se attivata viene scritta nel firmware una chiave crittografica pubblica, nota come Platform Key (PK). Solo driver e boot loader firmati con questa PK possono essere caricati da UEFI.
Qualcuno ha pubblicato su GitHub nel 2022 una Platform Key di AMI. La chiave pubblica era protetta da una semplice password a quattro caratteri, quindi facilmente “craccabile”. I ricercatori hanno inizialmente scoperto 215 dispositivi che usano la chiave compromessa. Il numero è successivamente aumentato a quasi 900. Utilizzando la PK è possibile firmare qualsiasi codice (malware incluso) che non verrà rilevato da Secure Boot.
La chiave pubblica doveva essere usata dai clienti di AMI solo per test, invece è finita nei firmware dei prodotti in commercio. Tra l’altro, la Platform Key dovrebbe essere diversa per ogni dispositivo o almeno ogni produttore.
Tutti i produttori elencati da Binarly hanno comunicato di aver generato nuove Platform Key e rilasciato aggiornamenti per UEFI che gli utenti devono installare al più presto. C’è solo un “piccolo” problema. La chiave compromessa non può essere revocata perché ciò impedirebbe l’avvio dei computer.