Uma vulnerabilidade na cadeia de suprimentos, presente em centenas de dispositivos de vários fornecedores, foi descoberta depois de ficar escondida à vista de todos por 12 anos.
A vulnerabilidade PKfail gira em torno de uma “chave mestra” de inicialização segura de teste que, se abusada, pode conceder aos agentes de ameaças a capacidade de assumir completamente o controle dos endpoints vulneráveis e instalar malware e outros códigos perigosos conforme acharem adequado.
A falha foi descoberta por pesquisadores de segurança cibernética da Binarly Research Team, que observaram que ela começa com uma “chave mestra” de inicialização segura, também conhecida como Chave de plataforma (PK), que é gerada pela American Megatrends International (AMI).
Uma falha na cadeia de suprimentos com uma década de existência
Uma PK é um componente essencial na arquitetura do processo de inicialização segura da Unified Extensible Firmware Interface (UEFI), projetado para garantir que um computador inicialize apenas com software confiável pelo fabricante do equipamento original (OEM). Quando gera uma PK pela primeira vez, a AMI a rotula como “NÃO CONFIAR”, notificando os fornecedores upstream para substituí-la por sua própria chave gerada com segurança.
No entanto, parece que muitos fornecedores não fizeram isso. Acer , Aopen, Dell , Formelife, Fujitsu, Gigabyte, HP , Intel , Lenovo e Supermicro, todos aparentemente falharam em fazê-lo, colocando centenas de computadores em risco. Supostamente, mais de 800 produtos são afetados.
Quando um agente de ameaça tem acesso a um dispositivo vulnerável, ele pode explorar esse problema para manipular o banco de dados Key Exchange Key (KEK), o Signature Database (db) e o Forbidden Signature Database (dbx) e, assim, ignorar efetivamente o Secure Boot. Isso, por sua vez, permite que ele assine código malicioso, o que permite que ele implante malware UEFI.
“O primeiro firmware vulnerável ao PKfail foi lançado em maio de 2012, enquanto o mais recente foi lançado em junho de 2024. No geral, isso faz com que esse problema na cadeia de suprimentos seja um dos mais duradouros do gênero, abrangendo mais de 12 anos”, acrescentou Binarly.
“A lista de dispositivos afetados, que no momento contém quase 900 dispositivos, pode ser encontrada em nosso aviso BRLY-2024-005. Uma análise mais detalhada dos resultados da verificação revelou que nossa plataforma extraiu e identificou 22 chaves únicas não confiáveis.”
Por meio do BleepingComputer
