セキュリティ企業のBinarlyは7月25日(米国時間)、「PKfail: Untrusted Platform Keys Undermine Secure Boot on UEFI Ecosystem」において、数百のデバイスに影響するUEFI(Unified Extensible Firmware Interface)のファームウェアのサプライチェーン問題を発見したと報じた。この問題を悪用されるとUEFIのプラットフォームキー(PK: Platform Key)にアクセスできる攻撃者は、暗号鍵(KEK: Key-Encrypting Key)、署名データベース(DB: Signature Database)、失効署名データベース(DBX: Forbidden Signature Database)を操作することでセキュアブートをバイパスする可能性がある。
-
PKfail: Untrusted Platform Keys Undermine Secure Boot on UEFI Ecosystem
UEFIの問題「PKfail」とは
Binarlyは発見したUEFIの問題を「PKfail」と名付けている。PKfailはx86およびARM双方のデバイスに影響を与える。この問題の原因はAmerican Megatrends International(AMI)がテスト用に作成したプラットフォームキーをそのまま製品に使用したことにある。本来、プラットフォームキーは製品リリース時に独自の鍵に置き換えられるはずだが、複数のベンダーがこれをそのまま使用した。
-
テスト用プラットフォームキーで署名した証明書の例 引用:Binarly
Binarlyによるとこのテスト用プラットフォームキー(鍵ペア)は今年の初めごろ、GitHubから暗号化された状態で誤って公開されたという。暗号化に使用されたパスワードは4桁とされ、その短さから秘密鍵は流出したと評価されている。
影響と対策
PKfailの影響を受けるファームウェアは2012年5月から2024年6月にリリースされた製品の一部(10%超)とされる。Binarlyの調査によると、おおよそ900の製品が影響を受けるという。
PKfailを悪用されると、セキュアブートを回避してBlackLotusなどのUEFIマルウェアを展開される可能性があり注意が必要。UEFIをサポートするデバイスを使用しているユーザーは、ベンダーの提供するファームウェアアップデート情報を確認し、必要に応じてアップデートを実施することが推奨されている。
