PKfail, la falla di Secure Boot scoperta a luglio è più diffusa del previsto

Il problema a carico di Secure Boot, con la scoperta di password di test largamente utilizzate da dispositivi in produzione, interessa un maggior numero di modelli di quanto originariamente stimato, comprendendo anche dispositivi medici e macchine per il voto elettronico
di Andrea Bai pubblicata il 17 Settembre 2024, alle 10:01 nel canale SicurezzaLa grave vulnerabilità PKfail, che era stata scoperta nel corso del mese di luglio e che avevamo definito "vergognosa" sta avendo conseguenze più preoccupanti del previsto, in quanto interessa un numero di dispositivi molto più ampio rispetto a quanto si pensasse inizialmente.
Ricordiamo velocemente che PKfail è una vulnerabilità che nasce dall'uso improprio, per oltre un decennio, di chiavi crittografiche di test (come "DO NOT SHIP" e "DO NOT TRUST") non destinate alla produzione che sono rimaste salvate in centinaia dispositivi con la conseguenza di rendere potenzialmente inaffidabili le protezioni Secure Boot.
I ricercatori di Binarly, la società di sicurezza che a luglio ha scoperto il problema, hanno recentemente aggiornato le loro stime: il numero di modelli di dispositivi che utilizzano le chiavi di test è quasi raddoppiato, salendo dai precedenti 513 a 972, così come sono più che raddoppiati quelli che impiegano le chiavi compromesse presenti su GitHub, passando da 215 a circa 490. Inoltre, sono state scoperte quattro nuove chiavi di test, portando il totale a circa 20.

E c'è un'ulteriore novità: tutte le chiavi compromesse scoperte inizialmente erano state generate da AMI, uno dei tre principali fornitori di kit per sviluppatori che sono usati dai produttori di dispositivi per la personalizzazione del firmware UEFI. Binarly ha però scoperto, nelle sue indagini più recenti, che anche gli altri due fornitori Insyde e Phoenix hanno generato e utilizzato chiavi compromesse.
La situazione è ulteriormente aggravata dal fatto che PKfail interessa non solo i dispositivi elettronici di consumo: i ricercatori di Binarly hanno infatti riscontrato la presenza delle chiavi di test anche su dispositivi medici, server aziendali e anche sistemi utilizzati per operazioni di voto elettronico. Binarly non ha ancora divulgato dettagli e informazioni sui modelli specifici colpiti dalla vulnerabilità dal momento che attualmente non sono ancora disponibili patch correttive.
È importante sottolineare che PKfail rappresenta una minaccia significativa solo per i dispositivi che utilizzano Secure Boot, una protezione obbligatoria per alcuni appaltatori governativi e ampiamente adottata in contesti aziendali. Per gli utenti e i dispositivi che non fanno affidamento su Secure Boot, PKfail non comporta rischi aggiuntivi.
9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info/s
/s
Non è un problema di specifica ma di incompetenza/superficialità delle aziende.
Se mi metti come password amministratore "12345" e bucano il sistema non è certo colpa del sistema operativo
La soluzione è (se esiste)?
Obbligare l’uso di password da minimo 8-9 caratteri misti che comprendano maiuscole/minuscole/numeri/caratterispeciali
Dovrebbe essere facile a livello di programmazione…
PS
Se poi aggiornano il server quelli di HWUpgrade, da nn vedere ogni 30 secondi la scritta “Carico eccessivo sul server…”
Dovrebbe essere facile a livello di programmazione…
Intendo per i sistemi ormai venduti e in produzione, esiste un utility cambio password che il Privato/azienda può usare?
Se poi aggiornano il server quelli di HWUpgrade, da nn vedere ogni 30 secondi la scritta “Carico eccessivo sul server…”
In effetti verso le 10-11 capita spesso quel messaggio
Dovrebbe essere facile a livello di programmazione…
Posso però dire che è una tristezza specie in ambito professionale o semi-professionale che si debba prevedere da software come fare le password?
Io posso capire che mio padre ultra-ottantenne possa ancora non sapere che una password semplice e banale sia un problema ma un professionista no. Un professionista di oggi anche se 50enne o 60enne non posso accettare che sia talmente rincoglionito da usare password come 12345 e tanto meno aziende che le mettono come password di default.
Se poi aggiornano il server quelli di HWUpgrade, da nn vedere ogni 30 secondi la scritta “Carico eccessivo sul server…”
Sinceramente ci ho perso le speranze. Ormai sta diventando sempre più frequente.
Se mi metti come password amministratore "12345" e bucano il sistema non è certo colpa del sistema operativo
La soluzione è (se esiste)?
Il problema è che è un sistema non aggiornabile se non per grazia dell'azienda produttrice, che solitamente se ne strabatte.
Col risultato che puoi aggiornare quanto vuoi il sistema operativo, ma la falla al sistema soprastante te la tieni fino alla morte della macchina.
La soluzione? Il sistema dovrebbe essere modulare, aperto, non vincolato dai produttori.
Tipo Coreboot.
Credo sia facilmente risolvibile tramite l'update tramite dbx delle firme non attendibile come successe per boot hole.
Col risultato che puoi aggiornare quanto vuoi il sistema operativo, ma la falla al sistema soprastante te la tieni fino alla morte della macchina.
La soluzione? Il sistema dovrebbe essere modulare, aperto, non vincolato dai produttori.
Tipo Coreboot.
Concordo. AMD dovrebbe finalmente rilasciare un firmware open source con Zen 6 e Zen 7. Intel e ARM al momento non sono pervenuti.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".