Uma vulnerabilidade em grande escala no sistema de segurança Secure Boot, chamada PKfail, revelou-se muito mais difundida do que se pensava anteriormente. O problema, denominado PKfail, afeta caixas eletrônicos, terminais de pagamento, dispositivos médicos, consoles de jogos, servidores corporativos e até máquinas de votação. O uso de chaves de plataforma de teste em sistemas de produção há mais de 10 anos comprometeu a segurança dos dispositivos dos principais fabricantes do setor.
Os pesquisadores da Binarly descobriram que o número de modelos de dispositivos que usam chaves de teste de plataforma comprometidas aumentou de 513 para 972. Os fabricantes afetados incluem Acer, Dell, Gigabyte, Intel, Supermicro, Aopen, Fornelife, Fujitsu, HP e Lenovo. As chaves marcadas como “DO NOT TRUST” nos certificados nunca foram destinadas ao uso em sistemas industriais, mas acabaram incorporadas em centenas de modelos de dispositivos.
As chaves da plataforma formam uma âncora criptográfica de raiz de confiança entre hardware e firmware. Eles são a base do Secure Boot, um padrão do setor que fornece segurança criptográfica no ambiente de pré-inicialização de um dispositivo. Integrado ao UEFI (Unified Extensible Firmware Interface), o Secure Boot utiliza criptografia de chave pública para bloquear a inicialização de qualquer código que não esteja assinado com uma assinatura digital pré-aprovada. O comprometimento dessas chaves prejudica toda a cadeia de segurança estabelecida pelo Secure Boot.
A situação piorou após a publicação da parte privada de uma das chaves de teste no GitHub em 2022. Isto abriu a possibilidade de realizar ataques complexos envolvendo a introdução de rootkits em dispositivos UEFI protegidos por Secure Boot. O número de modelos que usam esta chave comprometida específica aumentou de 215 para 490. No total, os pesquisadores identificaram cerca de 20 chaves de teste diferentes, quatro das quais foram descobertas recentemente.
Uma análise de 10.095 imagens de firmware exclusivas usando a ferramenta Binarly mostrou que 8% (791 imagens) continham chaves que não eram de produção. O problema afeta não apenas computadores pessoais, mas também dispositivos médicos, consoles de jogos, servidores corporativos e infraestruturas críticas.
Todas as chaves descobertas anteriormente foram obtidas da AMI, um dos três principais fornecedores de kits de desenvolvimento de software (SDKs) que os fabricantes de dispositivos usam para personalizar o firmware UEFI para funcionar em suas configurações de hardware específicas. Desde julho, a Binarly descobriu chaves pertencentes aos concorrentes da AMI, Insyde e Phoenix. A Binarly também descobriu que os três fabricantes a seguir também vendem dispositivos afetados pelo PKfail:
- Hardkernel Odroid-H2, Odroid-H3 e Odroid-H4
- Beelink Mini 12 Pró
- Miniforum HX99G
Os IDs de vulnerabilidade são CVE-2024-8105 e VU#455367. O PKfail não representa uma ameaça para dispositivos que não usam inicialização segura, mas prejudica a segurança de sistemas onde essa proteção é necessária, como fornecedores governamentais e ambientes corporativos.