Сегодня 26 июня 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Secure Boot оказалась скомпрометирована на более чем 200 моделях ПК крупных производителей, и это только начало

Эксперты по вопросам кибербезопасности компании Binarly обнаружили, что используемый в прошивках UEFI протокол Secure Boot скомпрометирован на более чем 200 моделей ПК и серверов крупнейших мировых производителей. Причиной проблемы называется безответственное отношение производителей к управлению криптографическими ключами, обеспечивающими защиту Secure Boot.

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

Технология Secure Boot стала отраслевым стандартом в 2012 году, когда сформировалось понимание, что может появиться вредоносное ПО, способное заражать BIOS набор низкоуровневых микропрограмм, которые выполняются до загрузки операционной системы. Накануне исследователи из компании Binarly объявили, что протокол Secure Boot полностью скомпрометирован на более чем 200 моделях компьютеров, выпускаемых под марками Acer, Dell, Gigabyte, Intel и Supermicro, потому что в 2022 году в одном из репозиториев GitHub был скомпрометирован криптографический ключ, обеспечивающий доверие между аппаратной частью компьютера и работающей на ней прошивкой. Исследователи Binarly обнаружили утечку в январе 2023 года.

Вскоре стало ясно, что под угрозой ещё более 300 моделей компьютеров от практически всех крупных производителей — был обнаружен ещё 21 ключ с пометками «DO NOT SHIP» («не отгружать») и «DO NOT TRUST» («не доверять»). Эти ключи созданы компанией AMI (American Megatrends Incorporated) — одним из трёх крупнейших разработчиков ПО, с помощью которого производители оборудования создают собственные прошивки UEFI для конкретных конфигураций. Пометки указывают, что эти ключи не предназначались для использования в серийно выпускаемой продукции — они поставлялись AMI актуальным или потенциальным клиентам для тестирования, но в действительности использовались на продукции в серийном производстве. Проблема коснулась Aopen, Foremelife, Fujitsu, HP, Lenovo и Supermicro.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Эксперты по безопасности рекомендуют, чтобы эти криптографические ключи были уникальными для каждой линейки продукции или как минимум для каждого производителя. А в идеале их следует даже время от времени менять. В реальности обнаруженные Binarly ключи использовались более чем десятком различных производителей более десяти лет. Идентичные тестовые ключи обнаруживались как в потребительских ПК, так и в серверах; и по меньшей мере один использовался тремя разными производителями. Компания озаглавила своё открытие PKfail, чтобы подчеркнуть неспособность всей отрасли обеспечить должное управление ключами шифрования, в результате чего возникла угроза для всей цепочки поставок. Обход защиты Secure Boot означает возможность запускать любые исполняемые файлы на уязвимой машине ещё до загрузки ОС.

Инциденты меньших масштабов отмечались и раньше. В 2016 году в продукции Lenovo был обнаружен ключ AMI с пометкой «DO NOT TRUST» — тогда была зарегистрирована уязвимость CVE-2016-5242. В прошлом году хакеры группировки Money Message похитили два ключа MSI, из-за чего под угрозой оказались 57 моделей ноутбуков компании. Ресурс Ars Technica направил в упомянутые в связи с PKfail компании запросы и получил ответы не от всех. Только в Supermicro заявили, что решили проблему, выпустив обновления BIOS. В Intel, HP, Lenovo и Fujitsu дали очень похожие ответы, отметив, что потенциально уязвимая продукция уже снята с производства, продаж и больше не поддерживается. Полный список уязвимой продукции Binarly опубликовала на GitHub.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Meta объявила о запуске полностью приватных ИИ-сводок в WhatsApp 17 мин.
Google AI Pro стал доступен по годовой подписке — экономия составит 16% 19 мин.
Вдохновлённое Disco Elysium мистическое приключение Pera Coda отправит исследовать сюрреалистический Стамбул и глубины собственной психики 8 ч.
Google представила Chrome 138 с новыми ИИ-функциями, исправлениями уязвимостей и синхронизацией групп вкладок 9 ч.
Живой мир, больше разнообразия и ещё несколько лет до релиза: основатель Mundfish поделился новыми подробностями Atomic Heart 2 9 ч.
Audi и Mercedes-Benz отказались от платформы Apple CarPlay Ultra, но обычный CarPlay оставят 10 ч.
Xbox подтвердила дату выхода Senua's Saga: Hellblade II на PS5 и анонсировала улучшения для игры на PC и Xbox 11 ч.
Chrome для Android наконец научился переносить адресную строку в нижнюю часть экрана 11 ч.
Nvidia завершила бета-тестирование DLSS Transformer — с ней игры пойдут в 4K и 240 FPS 11 ч.
Diablo IV возглавила июльскую подборку игр для подписчиков PS Plus, а Sony готовится к празднику 12 ч.
Новая статья: Обзор игрового ноутбука ASUS ROG Strix SCAR 18 G835 (2025): на что способна мобильная GeForce RTX 5090 4 ч.
Смартфон Трампа передумал быть американским — из описания исчезло гордое «Сделано в США» 4 ч.
Новая статья: Обзор смартфона HUAWEI nova Y63: еще раз в ту же реку 5 ч.
Samsung выпустила 32-дюймовые умные мониторы Smart Monitor M9, M8 и M7 с Tizen OS и частотой до 165 Гц 5 ч.
Philips представила 27-дюймовый IPS-монитор Evnia 27M2N3501PA с разрешением 1440p и частотой до 260 Гц 6 ч.
Huawei представит флагманы Pura 80 на международном рынке раньше, чем ожидалось 7 ч.
Asus анонсировала GeForce RTX 5050 Prime и RTX 5050 Dual с заводским разгоном и без 7 ч.
Samsung не рассчитывает на оглушительный успех XR-гарнитуры Project Moohan на старте продаж 7 ч.
Vivo представила беспроводные наушники TWS Air3 Pro с мощным шумоподавлением и автономностью до 52 часов 7 ч.
Toshiba создала литиевые аккумуляторы, которые заряжается до 80 % за 6 минут и выдерживает 20 000 циклов 7 ч.