Pentru cei ce nu știu, Secure Boot este un mecanism de securitate extrem de important, utilizat de mai bine de un deceniu și menit să asigure integritatea sistemului de operare. Protecția este asigurată prin diverse mecanisme criptografice, utilizând o combinație de chei publice și private, iar încărcarea firmware-ului și a sistemului de operare este condiționată de prezența unei semnături digitale valide. Până acum, Secure Boot a fost considerat impenetrabil, însă neatenția unui a angajat din partea unui producător de PC-uri a reușit să compromită securitatea a peste 200 de modele de PC-uri, plăci de bază și servere de la Acer, Dell, Gigabyte, Intel și Supermicro. Din câte se pare, acesta a urcat codul sursă a unor chei de platformă utilizate la integrarea secure boot pe Github, iar pentru restricționarea accesului a utilizat o parolă simplă de doar patru caractere. Așa cum era de așteptat, parola a fost rapid ghicită, iar respectivele chei s-au scurs pe internet, putând fi utilizate pentru a ocoli complet restricțiile Secure Boot pe sistemele vulnerabile.
Cu alte cuvinte, Secure Boot a devenit inutil pentru sistemele afectate, persoanele rău intenționate putând utiliza aceste chei pentru a semna orice software, deschizând astfel calea spre mai multe căi de atac: acces neautorizat / sustragere de informații și ransomware. Însă de această vulnerabilitate nu se face responsabil doar angajatul neglijent, ci și producătorii de hardware care, în loc să genereze platform keys pentru fiecare model de sistem în parte, au preferat să recicleze aceleași key-uri pe foarte multe configurații. Și mai grav este că această practică pare să fie foarte des întâlnită și pe sisteme de calcul destinate mediului enterprise, unde standardele de securitate sunt, cel puțin în teorie, mult mai exigente. Însă există și o veste bună: majoritatea sistemelor afectate vor primi patch-uri care să remedieze această vulnerabilitate.
Vulnerabilitatea a fost numită PKFail și este explicată pe larg de BINARLY, o companie care se ocupă cu securizarea firmware-urilor de PC-uri:
Sursa: Techspot