UEFI Güvenli Önyükleme: Yüzlerce bilgisayarda güvenli olmayan şifreleme anahtarları var
Birçok bilgisayar ve anakart üreticisi UEFI Güvenli Önyüklemeyi uygulama konusunda dikkatsizdir. Bu keşif yeni değil, ancak Binarly şirketi şimdi başka bir varyantı rapor ediyor: Birçok bilgisayarın UEFI BIOS'u, güvenilmez veya güvensiz olan Platform Anahtarı (PK) olarak adlandırılan bir şey içerir.
Duyuru
Birçok masaüstü bilgisayar, dizüstü bilgisayar ve anakart, BIOS satıcısı American Megatrends'in (AMI) açıkça güvenilmez olarak derecelendirdiği bir PK içeren UEFI BIOS ile birlikte gelir.
IT dergisi aylar önce Çinli Mele ve Zotac şirketlerinin mini bilgisayarlarının test raporlarında bireysel vakaları belgelememişti. Ancak hata bir süredir biliniyordu.
Ancak yeni olan, Binarly'nin Acer, Dell, Gigabyte, Intel ve Supermicro gibi tanınmış şirketlerin cihazlarının da etkilendiğini bulmasıdır. Güvenlik araştırmacıları bunları potansiyel olarak milyonlarca insan tarafından kullanılan 900'den fazla farklı sistemde keşfetti.
Binarly, test için BIOS güncelleme dosyaları gibi BIOS görüntülerini yükleyebileceğiniz bir web sitesi sağlar. Masaüstü bilgisayarların montajını kendisi yapan herkes bu dosyaları anakart ürün sayfalarında bulabilir.
PKfail'in neden olduğu riskler
Binarly, güvenlik açığını “PKfail” olarak adlandırır ancak Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) standartlarına göre bir risk derecelendirmesi sağlamaz. Binarly'ye göre, güvenli olmayan bir PK, UEFI Güvenli Önyüklemeyi atlamak için kullanılabilir. Ancak güvenli bir şekilde yapılandırılmış bilgisayarlar için ek yönetici hakları gereklidir.
BIOS kurulumuna şifre girmeden erişilebilen bir bilgisayarda, cihaza fiziksel erişimi olan herhangi bir saldırgan yine de UEFI Güvenli Önyüklemeyi devre dışı bırakabilir.
UEFI BIOS'taki güvenli olmayan bir PK, çoğu bilgisayar için özellikle ciddi bir risk oluşturmaz. Ancak, özellikle güvenli olmayan PK'lerden yararlanan saldırılar ortaya çıkarsa bu durum değişebilir.
İhmal edilen ürün yazılımı
Güvenli olmayan veya açıkça güvenilmez olarak işaretlenmiş bir PK ile UEFI BIOS sağlayan şirketler ya UEFI Güvenli Önyükleme kavramını anlamıyor ya da kalite kontrolleri düzgün çalışmıyor. Her ikisi de üreticinin ürün yazılımı güvenliğini çok ciddiye almadığını gösteriyor.
Güvenli olmayan UEFI PK'lerden bazıları açıkça güvenilmez olarak işaretlenmiştir.
(Resim: c'Magazin)
Ürün yazılımı dijital olarak imzalanmalı ve bir bilgisayar da UEFI BIOS'unu yüklemeden önce bu imzayı kontrol etmelidir. Bunun yapılmaması, manipüle edilmiş bir BIOS'un algılanmadan sisteminize yüklenmesine neden olabilir.
PK'nin bu ürün yazılımı kod imzasıyla hiçbir ilgisi yoktur. PK yalnızca UEFI Güvenli Önyükleme için önemlidir. Anahtar Değişim Anahtarı (KEK) olarak adlandırılan anahtarı korur. Bu da işletim sisteminin, BIOS flash belleğinde bulunan güvenli ve güvenli olmayan önyükleyiciler için veritabanlarını değiştirmek üzere Windows Update veya Linux Satıcı Firmware Hizmeti (LVFS/Fwupdate) gibi işlevleri kullanabilmesi için gereklidir. Daha sonra güvenli olmayan veya hatalı olarak tanımlanan önyükleyicileri engellemek için kullanılır.
Microsoft (Windows 10/11 ve Server için) ve çeşitli Linux dağıtımları (SBAT ile) şu anda UEFI Güvenli Önyükleme konseptinde köklü değişiklikler yapıyor. BootHole ve BlackLotus gibi güvenlik açıkları, son yıllarda orijinal Güvenli Önyükleme konseptinin çok sayıda eksikliğe sahip olduğunu ortaya koydu.
Etkilenen bilgisayarlar
Linux'ta şu komutu bulabilirsiniz:
sudo efi-readvar
önceden yüklenmiş paketten efitools PK'nin güvenilmez olarak işaretlenip işaretlenmediğini hemen öğrenin. Windows'ta bu, PowerShell için yüklenebilecek araçlar kullanılarak yapılabilir.
Binarly, etkilenen bilgisayarların bir listesini GitHub'da yayınladı. İkili danışma belgesi BRLY-2024-005 ek bilgi sağlar.
(chiw)
