Bypass PKfail Secure Boot memungkinkan penyerang menginstal malware UEFI

Secure Boot, alat yang terpasang di ratusan juta PC untuk mencegahnya memuat perangkat lunak yang tidak terverifikasi melalui UEFI, merupakan landasan mendasar keamanan komputer modern.

Alat ini menggunakan tanda tangan kriptografi dalam komponen perangkat keras untuk memastikan bahwa tidak ada yang terhubung ke PC Anda yang dapat memuat kode yang belum Anda (atau setidaknya PC) verifikasi. Itulah sebabnya kebocoran kunci kriptografi menjadi masalah besar.

Perusahaan riset keamanan Binarly melaporkan bahwa kunci kriptografi yang bocor telah membahayakan perangkat keras dari beberapa vendor utama di industri PC, termasuk Dell, Acer, Gigabyte, Supermicro, dan bahkan Intel. Delapan persen gambar firmware yang dirilis dalam empat tahun terakhir telah disusupi, dengan 22 kunci yang tidak tepercaya segera ditemukan.

“Kunci Platform ini, yang mengelola basis data Secure Boot dan menjaga rantai kepercayaan dari firmware ke sistem operasi, sering kali tidak digantikan oleh OEM atau vendor perangkat, sehingga mengakibatkan perangkat dikirimkan dengan kunci yang tidak tepercaya,” kata Tim Riset Binarly.

Menurut postingan Ars Technica, “lebih dari 200 model perangkat” dari vendor ini dipengaruhi oleh satu kunci tertentu yang diposting ke repositori GitHub terbuka pada akhir tahun 2022.

Pada bulan Mei 2023, Binarly menemukan insiden keamanan rantai pasokan yang melibatkan kunci pribadi yang bocor dari Intel Boot Guard, yang berdampak pada banyak vendor. Seperti yang pertama kali dilaporkan oleh BleepingComputer, kelompok pemerasan Money Message membocorkan kode sumber MSI untuk firmware yang digunakan oleh motherboard perusahaan tersebut.

Kode tersebut berisi kunci pribadi penandatanganan image untuk 57 produk MSI dan kunci pribadi Intel Boot Guard untuk 116 produk MSI lainnya.

Seharusnya cukup mudah bagi vendor perangkat keras untuk memperbarui firmware perangkat dan menghapus berkas biner yang disusupi, meskipun luasnya kerentanan berarti bahwa beberapa PC mungkin memerlukan beberapa pembaruan firmware untuk mencakup semua komponen yang terpengaruh.

Binarly telah membuat alat daring untuk deteksi PKfail yang memungkinkan Anda memindai berkas firmware untuk melihat apakah perangkat terkait menggunakan kunci yang disusupi.