Secure Boot gekraakt: honderden pc’s kwetsbaar voor cyberdreigingen

Volgens een onderzoek van Binarly zijn er verschillende cryptografische sleutels gelekt van grote leveranciers. Het onderzoeksbureau lanceert een online detectietool om firmwarebestanden te scannen op de desbetreffende sleutels.

Secure Boot is een beveiligingsfunctie die schadelijke software tegenhoudt bij het opstarten van apparaten. De tool is ingebouwd in honderden miljoenen pc’s van onder andere Dell, Intel en Acer, en moet voorkomen dat geavanceerde malware de BIOS van een systeem kan infecteren. Dergelijke malware-infecties zijn nefast, aangezien de malwarecode dan draait nog voor het besturingssysteem en bijhorende beveiligingssoftware opstart. Secure Boot moet de firmware verifiëren op zo’n aanvallen te voorkomen.

Uit een onderzoek van het beveiligingsonderzoeksbureau Binarly blijkt nu dat er cryptografische sleutels gelekt zijn van verschillende grote leveranciers. De exploit krijgt de benaming ‘PKfail’. Binarly publiceerde een online detectietool om na te gaan of firmwarebestanden de desbetreffende gecompromitteerde sleutels gebruiken.

Cryptografische sleutels

Gewapend met de sleutels kunnen hackers in principe malafide firmware schrijven die er voor Secure Boot wel als legitiem uitziet. Daarmee valt het hele opzet van de beveiligingsfunctionaliteit in duigen.

Beveiligingsonderzoeksbureau Binarly schreef in een blog dat gelekte cryptografische sleutels de hardware van verschillende grote leveranciers zou hebben gecompromitteerd, waaronder Dell, Acer en Intel. Er zijn vandaag toestellen in circulatie waarbij Secure Boot gebruik maakt van de onveilige sleutels.

De exploit krijgt van Binarly de naam ‘PKfail’ en is uiterst interessant voor hackers. Zij kunnen namelijk met dergelijke sleutels specifieke apparaten targeten en code uitvoeren die bijna niet te detecteren is zodra je Windows of een gelijkaardig besturingssysteem draait.  

Kwetsbaar voor aanvallen

Heel veel apparaten in de consumenten- en B2B-sector zijn momenteel kwetsbaar voor aanvallen op het opstartproces. Hoewel dergelijke aanvallen bijzonder complex moeten zijn om te kunnen slagen, is het een van de gevaarlijkste manieren waarop een computer gecompromitteerd kan worden. Gezien de grote complexiteit, moeten gebruikers niet meteen vrezen voor uitbuiting op grote schaal. Het lek zorgt er eerder voor dat professionele hackers met verregaande toegang zich in theorie onopgemerkt nog dieper in een organisatie kunnen worstelen. 

Binary publiceerde een online tool waarin gebruikers firmwarebestanden kunnen scannen om te achterhalen of de bijhorende apparaten de gecompromitteerde sleutels gebruiken. 

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.