セキュリティ

Acer・Dell・GIGABYTE・Intel・Supermicroの数百以上のデバイスでUEFIセキュアブートのプラットフォームキーが漏えいしていたと発覚、システム侵害のリスクあり


セキュリティ企業・Binarlyの研究チームが、Acer、Dell、GIGABYTE、Intel、Supermicroが販売する200種類以上のデバイスでブート時に任意コード実行が可能になる脆弱(ぜいじゃく)性「PKfail」を報告しました。脆弱性の起因は、セキュアブートの基盤となるプラットフォームキーが2022年に漏えいしたことと指摘されています。

PKfail: Untrusted Platform Keys Undermine Secure Boot on UEFI Ecosystem
https://www.binarly.io/blog/pkfail-untrusted-platform-keys-undermine-secure-boot-on-uefi-ecosystem


SupplyChainAttacks/PKfail/ImpactedDevices.md at main · binarly-io/SupplyChainAttacks · GitHub
https://github.com/binarly-io/SupplyChainAttacks/blob/main/PKfail/ImpactedDevices.md

コンピューターのハードウェアを制御し、OSを起動するためのシステムがUEFIです。UEFIはBIOSからセキュリティ機能の強化や起動プロセスの高速化が図られており、特に「セキュアブート」機能が搭載されているのが特徴です。セキュアブートは、不正なソフトウェアやマルウェアがシステムの起動プロセスに侵入するのを防ぐため、デジタル署名を使用してブートローダーやドライバー、OSの認証を行い、署名されていないコードの実行を防止します。

このセキュアブートにおいて、信頼の根幹(root of trust)として機能するのが「プラットフォームキー」です。プラットフォームキーはハードウェアデバイスとその上で動作するファームウェア間の信頼関係を確立するための暗号鍵という役割を果たしています。


2022年12月、Binarlyの研究者は別件の調査を行っている中で、複数のデバイスメーカーで働いていたエンジニアがGitHubの公開リポジトリにプラットフォームキーの秘密鍵部分を公開していたことを発見しました。漏えいした秘密鍵は暗号化された状態で保存されていましたが、わずか4文字のパスワードで保護されていただけだったとのこと。

Binarlyの研究チームは、American MegatrendsというBIOSベンダーが生成したテスト用のプラットフォームキーが、OEMやデバイスベンダーによって共有されてそのまま流用されていることが問題だとしています。


攻撃者は、PKfailの影響を受けるデバイスのセキュアブートを完全にバイパスし、ブートプロセス中に任意のコードを実行することが可能になるとBinarlyの研究チームは指摘しています。Binarlyの研究チームが公開しているPKfailの概念実証ムービーが以下。

Proof of Concept for PKfail - YouTube


Binarlyの調査によると、この漏えいしたキーを使用しているデバイスは215モデルに及ぶとのこと。また。Binarlyのデータセットにある過去10年間のUEFIファームウェアイメージの10%以上がPKfailの影響を受けていることが分かりました。


PKfailを悪用することで、攻撃者はセキュアブートが有効な状態でも信頼されていないコードを起動プロセス中に実行することができ、ファームウェアからオペレーティングシステムまでのセキュリティチェーン全体が危険にさらされます。

Binarlyは、この脅威を軽減するためのスキャンツールを無料で公開し、セキュリティコミュニティ全体が脆弱なデバイスやシステムファームウェアの更新、悪意のあるペイロードを検出できるようにしています。

Binarly PKfail detector
https://pk.fail/


また、Binarlyはデバイスベンダーに対して、適切なプラットフォームキーを生成・管理し、テストキーから置き換えることを推奨しています。ユーザーに対しては、デバイスベンダーからのファームウェア更新に注意を払い、PKfail脆弱性に対処するセキュリティパッチを適用することが重要だと助言しています。

この記事のタイトルとURLをコピーする

・関連記事
PC起動時のUEFIで表示されるロゴ画像を置き換えて任意のコード実行を可能にするエクスプロイト「LogoFAIL」が発見される、WindowsとLinuxが対象でどんなセキュリティもスルーしてしまう - GIGAZINE

ネットワーク内の攻撃者がデバイスにマルウェアを感染させることを可能にするUEFIファームウェアの脆弱性「PixieFail」、クラウドとデータセンターにとって大きな問題 - GIGAZINE

セキュリティ企業が雇ったリモートワーカーが実は北朝鮮のハッカーだった - GIGAZINE

Telegramがゼロデイ脆弱性にパッチをリリース、攻撃者がAPKファイルを動画ファイルとして送信可能だった - GIGAZINE

AIトレーニングサービス経由で顧客のクラウド環境にアクセスできる脆弱性をセキュリティ企業が報告 - GIGAZINE

Trelloユーザー1500万人のメールアドレスがハッキングフォーラムに流出、たった360円で売り飛ばされる - GIGAZINE

Googleのドメイン登録サービス「Google Domains」から移管されたドメインが移管先の脆弱性によってハイジャックされてしまう - GIGAZINE

in 動画,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.