Environ neuf pour cent des images de micrologiciels testées utilisent des clés cryptographiques non produites qui sont connues du public ou divulguées lors de violations de données, laissant de nombreux périphériques de démarrage sécurisés vulnérables aux attaques de logiciels malveillants UEFI bootkit.

Connue sous le nom de « PKfail » et désormais répertoriée sous le numéro CVE-2024-8105, l’attaque de la chaîne d’approvisionnement est causée par la clé principale de démarrage sécurisé de test (clé de plate-forme « PK »), que les fournisseurs d’ordinateurs étaient censés remplacer par leurs propres clés générées de manière sécurisée.

Même si ces clés portaient la mention « NE PAS FAIRE CONFIANCE », elles étaient toujours utilisées par de nombreux fabricants d’ordinateurs, notamment Acer, Dell, Fujitsu, Gigabyte, HP, Intel, Lenovo, Phoenix et Supermicro.

Le problème a été découvert par Binarly fin juillet 2024, qui mettait en garde contre l’utilisation de clés de test non fiables, dont beaucoup ont déjà fui sur GitHub et d’autres emplacements, sur plus de huit cents modèles d’appareils grand public et d’entreprise.

PKfail pourrait permettre aux auteurs de menaces de contourner les protections de démarrage sécurisées et de planter des logiciels malveillants UEFI indétectables sur des systèmes vulnérables, ne laissant aucun moyen aux utilisateurs de se défendre ou même de découvrir le compromis.

Impact et réponse de PKfail
Dans le cadre de leurs recherches, Binarly a publié un « scanner PKfail », que les fournisseurs peuvent utiliser pour télécharger leurs images de firmware pour voir s’ils utilisent une clé de test.

Depuis sa sortie, le scanner a trouvé 791 soumissions de micrologiciels vulnérables sur 10 095, selon les dernières mesures.

« Sur la base de nos données, nous avons trouvé PKfail et des clés de non-production sur des appareils médicaux, des ordinateurs de bureau, des ordinateurs portables, des consoles de jeux, des serveurs d’entreprise, des distributeurs automatiques de billets, des terminaux de point de vente et des endroits étranges comme des machines à voter. »lit le nouveau rapport de Binarly.

La majorité des soumissions vulnérables sont des clés d’AMI (American Megatrends Inc.), suivi par Insyde (61), Phoenix (4) et une soumission de Supermicro.

Images du micrologiciel numérisées au fil du temps

Pour les clés Insyde, qui ont été générées en 2011, Binarly dit que les soumissions d’images du micrologiciel révèlent qu’elles sont toujours utilisées dans les appareils modernes. Auparavant, on supposait qu’ils ne se trouvaient que dans les systèmes hérités.

La communauté a également confirmé que PKfail affecte les appareils spécialisés de Hardkernel, Beelink et Minisforum, de sorte que l’impact de la faille est plus large que prévu initialement.

Binarly commente que la réponse des fournisseurs à PKfail a généralement été proactive et rapide, bien que tout le monde n’ait pas rapidement publié des avis sur le risque de sécurité. Des bulletins sur PKfail sont actuellement disponibles auprès de Dell, Fujitsu, Supermicro, Gigabyte, Intel et Phoenix.

Plusieurs fournisseurs ont déjà publié des correctifs ou des mises à jour de micrologiciels pour supprimer les clés de plate-forme vulnérables ou les remplacer par du matériel cryptographique prêt pour la production, et les utilisateurs peuvent les obtenir en mettant à jour leur BIOS.

Si votre appareil n’est plus pris en charge et qu’il est peu probable qu’il reçoive des mises à jour de sécurité pour PKfail, il est recommandé de limiter son accès physique et de l’isoler des parties plus critiques du réseau.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *