» »

Secure Boot na več kot 200 napravah neučinkovit

Secure Boot na več kot 200 napravah neučinkovit

Slo-Tech - Moderni sistemi že dobro desetletje uporabljajo Secure Boot, ki počne točno to. Ob zagonu zagotavlja, da se izvaja le varna koda, ki jo označuje digitalni podpis. Gre za zaščito pred napadi, ko so bili še pred dvema desetletjema teoretični, nato pa so se pojavili v praksi. Škodljiva programska oprema, ki bi se ugnezdila v UEFI oziroma firmware, ima lahko popoln nadzor nad sistemom in ker se zažene še pred sistemom, v praksi ni vidna ali enostavno izbrisljiva. Secure Boot vsaj v teoriji pred tem ščiti.

V četrtek zvečer pa so raziskovalci iz podjetja Binarly ugotovili, da je na več kot 200 različnih modelih računalnikov proizvajalcev Acer, Dell, Gigabyte, Intel in Supermicro sistem zatajil. Kriptografski ključ, ki ga uporabljajo za preverjanje istovetnosti kode, je namreč kompromitiran. In to že dve leti.

Leta 2022 se je na Githubu (na naslovu, ki ni več aktiven https://github.com/raywu-aaeon/Ryzen200... ) znašel tudi zasebni ključ, zgolj navidezno zaščiten s štirimestnim geslom, ki ga je sprejemal Secure Boot. Ta ključ je omogočal podpis škodljive programske opreme, ki bi jo potem SecureBoot vseeno zagnal. To je velik problem.

Kasneje so ugotovili, da je sumljivih ključev še več. V več kot 300 napravah so odkrili tudi ključe, ki so zgolj preizkusni in nikoli niso bili namenjeni uporabi v produkcijskih okoljih. V 21 ključih se odkrili oznako O NOT SHIP ali DO NOT TRUST, ker je šlo za testne ključe. Vseeno so se ti nekako znašli v produkcijskih okoljih v napravah proizvajalcev Aopen, Foremelife, Fujitsu, HP, Lenovo in Supermicro.

Na vseh prizadetih napravah - seznam ima več kot 500 vnosov - je sedaj Secure Boot neefektiven. Virusi, ki okužijo UEFI, pa niso le teorija, temveč obstajajo. S ključi so torej proizvajalci ravnali površno, zato imajo sedaj težavo. Posodobitev UEFI je možna, v Secure Boot pa lahko kompromitirane ključe dodajo na seznam preklicanih. Nihče pa ne, koliko sistemov se bo zaradi tega zrušilo. Velika verjetnost je, da za večino naprav popravkov sploh ne bo, ker niso več aktivno podprte.

Svoje ključe lahko preverite z ukazom [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI PK).bytes) -match "DO NOT TRUST|DO NOT SHIP" v powershellu v Windows.

14 komentarjev

HotBurek ::

Ali ima lahko moj računalnik iz leta 2009 kakšne probleme zaradi tega?
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

HrščPščvnk ::

ne vem kakšen stroj maš Iz Leta 2009.
Kaj ti pa izpiše v powershell?
Hrošč Puščavnik, ogrožena živalska vrsta iz Tivolija.

Han ::

Zopet na hitro spisana novica z napakami: O NOT SHIP... Nihče pa ne, koliko sistemov...

Kako mora Powershell oziroma Windows Terminal na ukaz odgovoriti, če ključ ni kompromitiran?

MrStein ::

Je bilo kaj novic o Microsoftovem načrtu, da blokira skoraj boot loaderje?
Ti bi izvedel z nadgradnjo spiska ključev uefi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

_Denny_ ::

Han je izjavil:

Kako mora Powershell oziroma Windows Terminal na ukaz odgovoriti, če ključ ni kompromitiran?


S False.
Asrock X670E Taichi, Ryzen 9 7950X3D + NH-D14, 96GB Corsair DDR5-6400 CL32
RTX 2070S 8GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400

war-dog ::

Še Linux proof of concept:
Object reference not set to an instance of an object.

dr.Akula ::

Nerad kritiziram, ampak novica je res slabo napisana, predvsem zadnji odstavek.
Če hočete probat pri sebi, morate Powershell pognati v admin načinu. Če ključ ni kompromitiran, vrne "false".

Tu piše malo več, ampak so pa spodaj zajebali ukaz, ker ni pravilno formatiran, če ga kopiraš.
ni podatka

war-dog ::

No, pa še Windows proof of concept:
Object reference not set to an instance of an object.

jlpktnst ::

Dejte še linux komando skopirat iz članka a? :D

efi-readvar -v PK

krho ::

Pa ni 200 naprav ampak MODELOV. Kar je dejansko velika razlika.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

MrStein ::

MrStein je izjavil:

Je bilo kaj novic o Microsoftovem načrtu, da blokira skoraj boot loaderje?
Ti bi izvedel z nadgradnjo spiska ključev uefi.

Eh, typoti.
Skoraj VSE boot loaderje
Ti bi -> To bi
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

matijadmin ::

Ima kdo izkušnje z Dasharo coreboot + Heads?
Vrnite nam techno!

k4vz0024 ::

Sem vnesel zgornji ukaz v powershell in odgovor je:

Get-SecureBootUEFI : Unable to set proper privileges. Access was denied.

Kako to interpretirat?

Nikonja ::

Nisi zagnal Powershell v admin načinu


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

nov SSD disk v prenosnik

Oddelek: Pomoč in nasveti
442184 (1083) turist1
»

Stranska vrata v Microsoftov Secure Boot so se odprla

Oddelek: Novice / Varnost
117065 (5313) johnnyyy
»

SSD upgrade: BIOS najde disk, windows inštalacija ne (strani: 1 2 )

Oddelek: Strojna oprema
6519981 (2219) Mare2
»

Acerjev šef vidno nenavdušen nad Microsoftovim pohodom v hardware (strani: 1 2 3 4 )

Oddelek: Novice / Windows Mobile
17534370 (30783) Icematxyz
»

Nam bosta UEFI varnostni zagon in Microsoft preprečila poganjanje alternativnih opera (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20251172 (42235) Icematxyz

Več podobnih tem