PKfail, la falla di Secure Boot scoperta a luglio è più diffusa del previsto

PKfail, la falla di Secure Boot scoperta a luglio è più diffusa del previsto

Il problema a carico di Secure Boot, con la scoperta di password di test largamente utilizzate da dispositivi in produzione, interessa un maggior numero di modelli di quanto originariamente stimato, comprendendo anche dispositivi medici e macchine per il voto elettronico

di pubblicata il , alle 10:01 nel canale Sicurezza
 

La grave vulnerabilità PKfail, che era stata scoperta nel corso del mese di luglio e che avevamo definito "vergognosa" sta avendo conseguenze più preoccupanti del previsto, in quanto interessa un numero di dispositivi molto più ampio rispetto a quanto si pensasse inizialmente.

Ricordiamo velocemente che PKfail è una vulnerabilità che nasce dall'uso improprio, per oltre un decennio, di chiavi crittografiche di test (come "DO NOT SHIP" e "DO NOT TRUST") non destinate alla produzione che sono rimaste salvate in centinaia dispositivi con la conseguenza di rendere potenzialmente inaffidabili le protezioni Secure Boot.

I ricercatori di Binarly, la società di sicurezza che a luglio ha scoperto il problema, hanno recentemente aggiornato le loro stime: il numero di modelli di dispositivi che utilizzano le chiavi di test è quasi raddoppiato, salendo dai precedenti 513 a 972, così come sono più che raddoppiati quelli che impiegano le chiavi compromesse presenti su GitHub, passando da 215 a circa 490. Inoltre, sono state scoperte quattro nuove chiavi di test, portando il totale a circa 20.

E c'è un'ulteriore novità: tutte le chiavi compromesse scoperte inizialmente erano state generate da AMI, uno dei tre principali fornitori di kit per sviluppatori che sono usati dai produttori di dispositivi per la personalizzazione del firmware UEFI. Binarly ha però scoperto, nelle sue indagini più recenti, che anche gli altri due fornitori Insyde e Phoenix hanno generato e utilizzato chiavi compromesse.

La situazione è ulteriormente aggravata dal fatto che PKfail interessa non solo i dispositivi elettronici di consumo: i ricercatori di Binarly hanno infatti riscontrato la presenza delle chiavi di test anche su dispositivi medici, server aziendali e anche sistemi utilizzati per operazioni di voto elettronico. Binarly non ha ancora divulgato dettagli e informazioni sui modelli specifici colpiti dalla vulnerabilità dal momento che attualmente non sono ancora disponibili patch correttive.

È importante sottolineare che PKfail rappresenta una minaccia significativa solo per i dispositivi che utilizzano Secure Boot, una protezione obbligatoria per alcuni appaltatori governativi e ampiamente adottata in contesti aziendali. Per gli utenti e i dispositivi che non fanno affidamento su Secure Boot, PKfail non comporta rischi aggiuntivi.

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
marcram17 Settembre 2024, 10:19 #1
Vorrei rinnovare i miei complimenti all'UEFI Forum per aver partorito questa perla di Secure Boot, e tutto il soprastante UEFI, ed aver reso tutte le macchine più sicure, funzionali ed affidabili.

/s
io78bis17 Settembre 2024, 10:32 #2
Originariamente inviato da: marcram
Vorrei rinnovare i miei complimenti all'UEFI Forum per aver partorito questa perla di Secure Boot, e tutto il soprastante UEFI, ed aver reso tutte le macchine più sicure, funzionali ed affidabili.

/s


Non è un problema di specifica ma di incompetenza/superficialità delle aziende.
Se mi metti come password amministratore "12345" e bucano il sistema non è certo colpa del sistema operativo


La soluzione è (se esiste)?
aqua8417 Settembre 2024, 11:20 #3
Originariamente inviato da: io78bis
La soluzione è (se esiste)?


Obbligare l’uso di password da minimo 8-9 caratteri misti che comprendano maiuscole/minuscole/numeri/caratterispeciali

Dovrebbe essere facile a livello di programmazione…

PS
Se poi aggiornano il server quelli di HWUpgrade, da nn vedere ogni 30 secondi la scritta “Carico eccessivo sul server…”
io78bis17 Settembre 2024, 11:32 #4
Originariamente inviato da: aqua84
Obbligare l’uso di password da minimo 8-9 caratteri misti che comprendano maiuscole/minuscole/numeri/caratteri speciali

Dovrebbe essere facile a livello di programmazione…

Intendo per i sistemi ormai venduti e in produzione, esiste un utility cambio password che il Privato/azienda può usare?

Originariamente inviato da: aqua84
PS
Se poi aggiornano il server quelli di HWUpgrade, da nn vedere ogni 30 secondi la scritta “Carico eccessivo sul server…”

In effetti verso le 10-11 capita spesso quel messaggio
Darkon17 Settembre 2024, 11:43 #5
Originariamente inviato da: aqua84
Obbligare l’uso di password da minimo 8-9 caratteri misti che comprendano maiuscole/minuscole/numeri/caratterispeciali

Dovrebbe essere facile a livello di programmazione…


Posso però dire che è una tristezza specie in ambito professionale o semi-professionale che si debba prevedere da software come fare le password?

Io posso capire che mio padre ultra-ottantenne possa ancora non sapere che una password semplice e banale sia un problema ma un professionista no. Un professionista di oggi anche se 50enne o 60enne non posso accettare che sia talmente rincoglionito da usare password come 12345 e tanto meno aziende che le mettono come password di default.

PS
Se poi aggiornano il server quelli di HWUpgrade, da nn vedere ogni 30 secondi la scritta “Carico eccessivo sul server…”


Sinceramente ci ho perso le speranze. Ormai sta diventando sempre più frequente.
marcram17 Settembre 2024, 12:06 #6
Originariamente inviato da: io78bis
Non è un problema di specifica ma di incompetenza/superficialità delle aziende.
Se mi metti come password amministratore "12345" e bucano il sistema non è certo colpa del sistema operativo


La soluzione è (se esiste)?

Il problema è che è un sistema non aggiornabile se non per grazia dell'azienda produttrice, che solitamente se ne strabatte.
Col risultato che puoi aggiornare quanto vuoi il sistema operativo, ma la falla al sistema soprastante te la tieni fino alla morte della macchina.

La soluzione? Il sistema dovrebbe essere modulare, aperto, non vincolato dai produttori.
Tipo Coreboot.
Opteranium17 Settembre 2024, 14:42 #7
OT, PKfail mi ricorda troppo un qualcosa di legato all'universo Paperinik New Adventures di fine anni '90
destroyer8517 Settembre 2024, 17:32 #8
Perché vi siete buttati sulle password che non c'entrano niente con la vulnerabilità? ��
Credo sia facilmente risolvibile tramite l'update tramite dbx delle firme non attendibile come successe per boot hole.
pachainti17 Settembre 2024, 18:02 #9
Originariamente inviato da: marcram
Il problema è che è un sistema non aggiornabile se non per grazia dell'azienda produttrice, che solitamente se ne strabatte.
Col risultato che puoi aggiornare quanto vuoi il sistema operativo, ma la falla al sistema soprastante te la tieni fino alla morte della macchina.

La soluzione? Il sistema dovrebbe essere modulare, aperto, non vincolato dai produttori.
Tipo Coreboot.


Concordo. AMD dovrebbe finalmente rilasciare un firmware open source con Zen 6 e Zen 7. Intel e ARM al momento non sono pervenuti.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^