PKfail: Hersteller sichern UEFI-BIOS mit unsicherem Test-Schlüssel

Der Sicherheitsanbieter Binarly warnt vor einer Schwachstelle im UEFI-BIOS mehrerer PC- und Mainboard-Hersteller. Durch die Verwendung eines unsicheren Schlüssels, der nur für Testzwecke gedacht war, können Unbefugte unter Umständen Sicherheitsfunktionen des UEFI-BIOS wie Secure Boot umgehen.

Offenbar wurden bereits seit 2012 Geräte von Herstellern wie Acer, Dell, Fujitsu, HP, Intel und Lenovo ausgeliefert, bei denen einen Secure Boot Master Key von American Megatrends International (AMI) verwendet wurde, der nicht für den produktiven Einsatz gedacht war. Laut Binarly war der Schlüssel von AMI als „nicht vertrauenswürdig“ gekennzeichnet beziehungsweise mit dem Hinweis „nicht ausliefern“ versehen.

Eigentlich hätten die Betroffenen PC- und Mainboard-Anbieter den von AMI zu Testzwecken bereitgestellten Schlüssel durch einen eigenen Schlüssel austauschen müssen – was nicht geschah. Hinzu kommt, laut Binarly, dass dieser Testschlüssel Bestandteil eines Datenlecks war. Binarly entdeckte den Testschlüssel bereits 2023 in gestohlenen Daten. Bei einer anschließenden Prüfung von UEFI-Varianten fanden Forscher von Binarly heraus, dass Hersteller den Testschlüssel für ihre Produktion genutzt hatten.

Betroffene Produkte erlauben nun das Einschleusen von Malware beim Systemstart und die Entwicklung von UEFI-Bootkits. Unklar ist Binarly zufolge, ob die Schwachstelle bereits von Bedrohungsakteuren ausgenutzt wurde.

Auf GitHub bietet Binarly eine Liste mit den bisher bekannten Produkten an, die die unsicheren Testschlüssel verwenden. Entwickler können zudem auf der von Binarly betriebenen Website PK.fail testen, ob ihre Firmware betroffen ist. Nutzer wiederum sind auf Firmware-Updates ihrer Mainboard- oder PC-Hersteller angewiesen, um die Schwachstelle zu beseitigen.