PKfail Sicherheitslücke: Hunderte Computer-Modelle sind angreifbar

Anbieter zum Thema

Venafi Inc.

CADFEM Germany GmbH

Softeq Development GmbH

Esker Software Entwicklungs-und Vertrieb

Sicherheitsforscher fanden heraus, dass Secure Boot bei Hunderten Computer-Modellen unsicher ist. Die Sicherheitslücke PKfail betrifft Geräte etwa von Acer und Dell – sie verfügen über unsichere Kryptoschlüssel.

Forscher des Sicherheitsunternehmens Binarly haben eine Sicherheitslücke in UEFI aufgedeckt. Konkret betroffen ist die Funktion Secure Boot bei mehr als 200 Computer-Modellen von Acer, Dell, Gigabyte, Intel und Supermicro. 

Doch im Dezember 2022 veröffentlichte ein Entwickler, der mit mehreren US-amerikanischen Geräteherstellern zusammenarbeitet, auf der Entwickler-Plattform GitHub einen Plattform-Schlüssel. Dieser kryptografische Schlüssel liegt Secure Boot zugrunde und bildet die Vertrauensbasis zwischen Hardware und Firmware. Das – inzwischen entfernte – GitHub-Repository enthielt den privaten Teil des Schlüssels, der lediglich mit einem einfachen vierstelligen Passwort verschlüsselt war, so dass er für jeden  leicht zu knacken war. Und das taten auch die Forscher von Binarly. Die Sicherheitslücke benannten Sie PKfail.

Sicherheitslücke in Hunderten Geräte-Modellen

Dieses Schlüsselleck blieb zunächst unbemerkt und hat die Sicherheit von Secure Boot erheblich beeinträchtigt. Scans ergaben, dass 215 Geräte den kompromittierten Schlüssel verwenden und die Integrität von Secure Boot bei über 300 weiteren Modellen großer Hersteller gefährdet ist. Darüber hinaus wurden 21 Plattform-Schlüssel mit der Kennzeichnung „DO NOT SHIP“ oder „DO NOT TRUST“ entdeckt, die von 500 Geräte-Modellen verwendet werden. Diese Test-Schlüssel waren nicht für die Produktion bestimmt und wurden über ein Jahrzehnt lang von mehreren Herstellern gemeinsam genutzt.

„Maschinen, von IoT-Geräten bis hin zu Servern, und sogar die darauf ausgeführten Arbeitslasten – alle benötigen Identitäten. Diese Identitäten können genau wie menschliche Identitäten ausgenutzt werden, und dieser Vorfall zeigt, wie wichtig Maschinen-Identitäten sind“, warnt Kevin Bocek, Chief Innovation Officer bei, Sicherheitsunternehmen Venafi.

Sicherheits-Teams müssen diese Verantwortung übernehmen, denn Entwickler sollten keine Identitäten absichern müssen, auch nicht die, die zur Unterscheidung von gutem und schlechtem Boot-Code verwendet werden.

Kevin Bocek, Venafi

UEFI-Check auf PKfail-Sicherheitslücke

Binarly stellt auf seiner Webseite ein Tool bereit, mit dem sich herausfinden lässt, ob ein UEFI-Image von der Sicherheitslücke PKfail betroffen ist. Dabei soll das Tool äußert zuverlässig sein – „die von uns eingesetzte Erkennungs-Methode hat eine Falsch-Positiv-Rate von nahezu Null“, so Binarly.

Entwickler sind in der Pflicht

Es gehe laut Kevin Bocek nicht nur darum, Geheimnisse auf GitHub zu bewahren, sondern auch darum, Identitäten zu schützen. „Solange Unternehmen das nicht tun, werden sie weiterhin Probleme haben. Viele glauben, dass dieses Problem mit Schlüsselverwaltung oder Hardware-Sicherheitsmodulen (HSM) gelöst werden kann, aber das macht das Problem nur noch größer“, so Kevin Bocek weiter. Entwickler-Teams würden nicht verstehen, warum sie das tun oder wofür der Schlüssel eigentlich verwendet wird. 

IT-Sicherheit

Datenaustausch: Fünf Tipps für die sichere Übertragung

„Sicherheits-Teams müssen diese Verantwortung übernehmen, denn Entwickler sollten keine Identitäten absichern müssen, auch nicht die, die zur Unterscheidung von gutem und schlechtem Boot-Code verwendet werden. Indem Unternehmen sie als Maschinenidentitäten behandeln, konzentrieren sie sich darauf, den Lebenszyklus zu sichern, Governance durchzusetzen und sicherzustellen, dass sie geschützt sind. Dies ist eine Frage der Identität – in diesem Fall der Identität des Boot-Codes.“