Der Sicherheitsanbieter Binarly warnt vor einer Schwachstelle im UEFI-BIOS mehrerer PC- und Mainboard-Hersteller. Durch die Verwendung eines unsicheren Schlüssels, der nur für Testzwecke gedacht war, können Unbefugte unter Umständen Sicherheitsfunktionen des UEFI-BIOS wie Secure Boot umgehen.
Offenbar wurden bereits seit 2012 Geräte von Herstellern wie Acer, Dell, Fujitsu, HP, Intel und Lenovo ausgeliefert, bei denen einen Secure Boot Master Key von American Megatrends International (AMI) verwendet wurde, der nicht für den produktiven Einsatz gedacht war. Laut Binarly war der Schlüssel von AMI als „nicht vertrauenswürdig“ gekennzeichnet beziehungsweise mit dem Hinweis „nicht ausliefern“ versehen.
Eigentlich hätten die Betroffenen PC- und Mainboard-Anbieter den von AMI zu Testzwecken bereitgestellten Schlüssel durch einen eigenen Schlüssel austauschen müssen – was nicht geschah. Hinzu kommt, laut Binarly, dass dieser Testschlüssel Bestandteil eines Datenlecks war. Binarly entdeckte den Testschlüssel bereits 2023 in gestohlenen Daten. Bei einer anschließenden Prüfung von UEFI-Varianten fanden Forscher von Binarly heraus, dass Hersteller den Testschlüssel für ihre Produktion genutzt hatten.
Betroffene Produkte erlauben nun das Einschleusen von Malware beim Systemstart und die Entwicklung von UEFI-Bootkits. Unklar ist Binarly zufolge, ob die Schwachstelle bereits von Bedrohungsakteuren ausgenutzt wurde.
Auf GitHub bietet Binarly eine Liste mit den bisher bekannten Produkten an, die die unsicheren Testschlüssel verwenden. Entwickler können zudem auf der von Binarly betriebenen Website PK.fail testen, ob ihre Firmware betroffen ist. Nutzer wiederum sind auf Firmware-Updates ihrer Mainboard- oder PC-Hersteller angewiesen, um die Schwachstelle zu beseitigen.
Neueste Kommentare
1 Kommentar zu PKfail: Hersteller sichern UEFI-BIOS mit unsicherem Test-Schlüssel
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
braucht kein toolkit
geht auch mit Windows Bordmitteln
in einer elevated powershell:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI pk).bytes)) | select-String -Pattern „do not trust“
liest die PK database aus dem BIOS aus und sich mach dem string
wenn eine Aysgabe erfolgt ist der Rechenr betroffen,
wenn es keine Ausgabe gibt, its der Recher nicht betroffen