Categories: Sicherheit

PKfail: Hersteller sichern UEFI-BIOS mit unsicherem Test-Schlüssel

Der Sicherheitsanbieter Binarly warnt vor einer Schwachstelle im UEFI-BIOS mehrerer PC- und Mainboard-Hersteller. Durch die Verwendung eines unsicheren Schlüssels, der nur für Testzwecke gedacht war, können Unbefugte unter Umständen Sicherheitsfunktionen des UEFI-BIOS wie Secure Boot umgehen.

Offenbar wurden bereits seit 2012 Geräte von Herstellern wie Acer, Dell, Fujitsu, HP, Intel und Lenovo ausgeliefert, bei denen einen Secure Boot Master Key von American Megatrends International (AMI) verwendet wurde, der nicht für den produktiven Einsatz gedacht war. Laut Binarly war der Schlüssel von AMI als „nicht vertrauenswürdig“ gekennzeichnet beziehungsweise mit dem Hinweis „nicht ausliefern“ versehen.

Eigentlich hätten die Betroffenen PC- und Mainboard-Anbieter den von AMI zu Testzwecken bereitgestellten Schlüssel durch einen eigenen Schlüssel austauschen müssen – was nicht geschah. Hinzu kommt, laut Binarly, dass dieser Testschlüssel Bestandteil eines Datenlecks war. Binarly entdeckte den Testschlüssel bereits 2023 in gestohlenen Daten. Bei einer anschließenden Prüfung von UEFI-Varianten fanden Forscher von Binarly heraus, dass Hersteller den Testschlüssel für ihre Produktion genutzt hatten.

Betroffene Produkte erlauben nun das Einschleusen von Malware beim Systemstart und die Entwicklung von UEFI-Bootkits. Unklar ist Binarly zufolge, ob die Schwachstelle bereits von Bedrohungsakteuren ausgenutzt wurde.

Auf GitHub bietet Binarly eine Liste mit den bisher bekannten Produkten an, die die unsicheren Testschlüssel verwenden. Entwickler können zudem auf der von Binarly betriebenen Website PK.fail testen, ob ihre Firmware betroffen ist. Nutzer wiederum sind auf Firmware-Updates ihrer Mainboard- oder PC-Hersteller angewiesen, um die Schwachstelle zu beseitigen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

14 Minuten ago

Erste Entwickler-Preview von Android 16 verfügbar

Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…

22 Minuten ago

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.

17 Stunden ago

Digitale Produkte „cyberfit“ machen

Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.

18 Stunden ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…

22 Stunden ago

Apple schließt Zero-Day-Lücken in iOS, iPadOS und macOS

Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…

1 Tag ago