Я признаю, что моя собственная гигиена паролей не всегда самая лучшая, хотя я уже вышел из тех времен, когда я использовал “xxxxxx” для нескольких некритичных учетных записей, полагая, что это настолько очевидно небезопасно, что никто не потрудится попробовать его. Гениально, я знаю. Но даже я понимаю, что пароль из четырех символов – это большой минус.
И все же именно это было использовано для защиты зашифрованного файла, который был критически важен для фундаментальной целостности Secure Boot – уровня безопасности UEFI BIOS, призванного гарантировать, что устройство загружается с использованием только того программного обеспечения, которому доверяет сам производитель ПК.
Ars Technica сообщает, что “исследователи из охранной фирмы Binarly обнаружили, что Secure Boot полностью скомпрометирован на более чем 200 моделях устройств, продаваемых компаниями Acer, Dell, Gigabyte, HP, Intel, Lenovo, Supermicro и другими. Причина: криптографический ключ, лежащий в основе Secure Boot на этих моделях, который был взломан в 2022 году.” Ой.
Судя по всему, критический ключ Secure Boot, который формирует корень доверия между аппаратным устройством и прошивкой UEFI, работающей на нем, и используется многими производителями оборудования, был опубликован в сети, защищенный только четырехсимвольным паролем. Компания Binarly, специализирующаяся на безопасности, заметила утечку в начале 2023 года и теперь опубликовала полный отчет, в котором описаны сроки и развитие проблемы.
Как мы понимаем, часть проблемы заключается в том, что производители устройств в основном используют одни и те же старые ключи снова и снова. Цитируя Бинарли, можно сказать, что сбой в системе безопасности связан с “отсутствием ротации криптографических ключей безопасности платформы для каждой линейки продуктов”. Например, одни и те же криптографические ключи были подтверждены на продуктах, связанных с клиентами и серверами. Аналогичное поведение было обнаружено при утечке ключа эталонного кода Intel Boot Guard. Один и тот же OEM-производитель использовал одни и те же криптографические ключи безопасности платформы для прошивок, выпущенных для разных производителей устройств. Аналогичное поведение было обнаружено при утечке ключей эталонного кода Intel Boot Guard.”
В отчете приводится список из сотен компьютеров упомянутых выше брендов, которые были скомпрометированы в результате утечки. К сведению, некоторые из этих систем включают игровые настольные компьютеры и ноутбуки Alienware. Эксперты по безопасности говорят, что для тех устройств, которые используют скомпрометированный ключ, он представляет собой неограниченный обход Secure Boot, позволяющий запускать вредоносное ПО во время загрузки системы. Только прямое обновление прошивки для каждого устройства может обезопасить пострадавшие устройства.
При этом Ars Technica цитирует многие бренды, участвовавшие в этой проблеме, утверждая, что все соответствующие системы уже либо исправлены, либо выведены из эксплуатации, и, предположительно, именно поэтому Binarly сейчас публикует подробности бреши в системе безопасности, которые позволят злоумышленникам воспользоваться ею.
Все это говорит о том, что теперь это скорее историческая проблема, чем реальная угроза безопасности. Но это также подчеркивает, как легко даже хорошо продуманные функции безопасности могут быть подорваны, если они не реализованы должным образом. Как сказал один эксперт по безопасности, опрошенный Ars, “история такова, что вся цепочка поставок UEFI – это сплошной беспорядок, и с 2016 года она не сильно улучшилась”.
В любом случае, если у Вас есть какие-то опасения, просмотрите полный отчет и посмотрите, не появились ли в нем какие-либо Ваши устройства. Если да, то, скорее всего, необходимо обновить BIOS.
