PKfail: Vulnerabilidad UEFI de 12 años permite eludir Secure Boot

Los especialistas de Binarly informan que cientos de productos UEFI de 10 proveedores están en riesgo de ser hackeados debido a una vulnerabilidad crítica denominada PKfail en la cadena de suministro de firmware, que permite eludir Secure Boot e instalar software malicioso.

Los dispositivos vulnerables utilizan una clave de prueba de Secure Boot, también conocida como Platform Key (PK), generada por American Megatrends International (AMI). La clave fue etiquetada como "DO NOT TRUST" (NO CONFIAR), y los proveedores debían reemplazarla con sus propias claves generadas de manera segura.

Sin embargo, con frecuencia los fabricantes de equipos originales (OEM) o los proveedores de dispositivos no reemplazan la Platform Key, lo que lleva a la entrega de dispositivos con claves no seguras. Cabe destacar que la Platform Key gestiona las bases de datos de Secure Boot y mantiene la cadena de confianza desde el firmware hasta el sistema operativo.

Entre los fabricantes de dispositivos UEFI que utilizaron claves de prueba no seguras se encuentran Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo y Supermicro. En total, 813 productos están en riesgo.

En caso de explotación exitosa del problema PKfail, un ciberdelincuente con acceso a dispositivos vulnerables y la parte cerrada de la Platform Key puede eludir la protección de Secure Boot manipulando las bases de datos Key Exchange Key, Signature Database y Forbidden Signature Database. Después de romper toda la cadena, desde el firmware hasta el sistema operativo, el atacante puede firmar código malicioso y propagar rootkits UEFI como CosmicStrand y BlackLotus.

Binarly señala que más del 10% de las imágenes de firmware en el conjunto examinado utilizan una Platform Key no segura. El primer firmware vulnerable se lanzó en mayo de 2012 y el último en junio de 2024, lo que convierte el problema PKfail en uno de los más prolongados de su tipo, abarcando un período de más de 12 años.

La lista de dispositivos afectados, que actualmente contiene casi 900 dispositivos, se puede encontrar en la descripción de la vulnerabilidad (BRLY-2024-005, calificación CVSS: 8.2). Un análisis más detallado de los resultados de escaneo mostró que nuestra plataforma extrajo e identificó 22 claves no seguras únicas.

Para prevenir el ataque, se recomienda a los proveedores generar y gestionar la Platform Key utilizando módulos de seguridad de hardware. Es necesario reemplazar cualquier clave de prueba proporcionada por proveedores independientes de BIOS con claves propias generadas de manera segura.

Los usuarios deben monitorear las actualizaciones de firmware y aplicar oportunamente todos los parches de seguridad relacionados con el problema PKfail. Binarly también ha publicado el sitio pk.fail, que ayuda a los usuarios a escanear gratuitamente los archivos binarios de firmware en busca de dispositivos vulnerables y cargas maliciosas.