Os especialistas em segurança cibernética da Binarly descobriram que o protocolo Secure Boot usado no firmware UEFI foi comprometido em mais de 200 modelos de PC e servidores dos maiores fabricantes do mundo. Diz-se que a causa do problema é a atitude irresponsável dos fabricantes em relação ao gerenciamento de chaves criptográficas que fornecem proteção de inicialização segura.
A tecnologia Secure Boot tornou-se um padrão da indústria em 2012, quando se percebeu que poderia surgir malware que poderia infectar o BIOS, um conjunto de firmware de baixo nível que é executado antes da inicialização do sistema operacional. Na véspera, pesquisadores da Binarly anunciaram que o protocolo Secure Boot foi completamente comprometido em mais de 200 modelos de computadores fabricados sob as marcas Acer, Dell, Gigabyte, Intel e Supermicro, porque em 2022 uma chave criptográfica que garante a confiança foi comprometida em um dos os repositórios GitHub entre o hardware do computador e o firmware em execução nele. Os pesquisadores da Binarly descobriram o vazamento em janeiro de 2023.
Logo ficou claro que mais de 300 modelos de computador de quase todos os principais fabricantes estavam em risco – outras 21 chaves foram descobertas marcadas como “DO NOT SHIP” (“Não envie”) e “DO NOT TRUST” (“Não confie” ). Essas chaves foram criadas pela AMI (American Megatrends Incorporated), um dos três maiores desenvolvedores de software que ajuda os fabricantes de hardware a criar seu próprio firmware UEFI para configurações específicas. As marcações indicam que estas chaves não se destinavam à utilização em produtos de produção – foram fornecidas pela AMI a clientes actuais ou potenciais para testes, mas foram efectivamente utilizadas em produtos de produção. O problema afetou Aopen, Foremelife, Fujitsu, HP, Lenovo e Supermicro.
Os especialistas em segurança recomendam que essas chaves criptográficas sejam exclusivas para cada linha de produtos ou, no mínimo, para cada fabricante. E o ideal é que eles sejam trocados de tempos em tempos. Na realidade, as chaves descobertas pela Binarly foram utilizadas por mais de uma dezena de fabricantes diferentes durante mais de dez anos. Chaves de teste idênticas foram encontradas em PCs e servidores de consumo; e pelo menos um foi usado por três fabricantes diferentes. A empresa intitulou sua descoberta de PKfail para destacar a falha de toda a indústria em gerenciar adequadamente as chaves de criptografia, resultando em uma ameaça para toda a cadeia de fornecimento. Ignorar a proteção de inicialização segura significa a capacidade de executar qualquer arquivo executável em uma máquina vulnerável antes que o sistema operacional seja carregado.
Incidentes de menor escala já foram relatados antes. Em 2016, uma chave AMI marcada como “DO NOT TRUST” foi descoberta em produtos Lenovo e então a vulnerabilidade CVE-2016-5242 foi registrada; No ano passado, hackers do Money Message roubaram duas chaves MSI, colocando em risco 57 modelos de laptop da empresa. A Ars Technica enviou perguntas às empresas mencionadas em relação ao PKfail e não recebeu respostas de todas elas. Apenas a Supermicro disse que resolveu o problema lançando atualizações de BIOS. Intel, HP, Lenovo e Fujitsu deram respostas muito semelhantes, observando que os produtos potencialmente vulneráveis já foram descontinuados, vendidos e não têm mais suporte. Binarly publicou uma lista completa de produtos vulneráveis no GitHub.