VU#455367 : Clé de plateforme (PK) non sécurisée utilisée dans la signature du micrologiciel du système UEFI
Vulnérabilité PKfail dans UEFI : Un danger pour la sécurité du systèmeLa vulnérabilité PKfail dans l'UEFI (Unified Extensible Firmware Interface) permet aux attaquants de contourner le démarrage sécurisé (Secure Boot) en utilisant des clés de plateforme (PK) codées en dur, qui ne devraient être utilisées que pour les tests. Ces clés non fiables peuvent être incluses par inadvertance dans le firmware de production, laissant les systèmes vulnérables à des modules malveillants qui peuvent s'exécuter avec des privilèges élevés lors du démarrage.Le processus de vérification des clés dans l'UEFI est limité, permettant à des clés non fiables d'être confondues avec des clés fiables. L'absence de vérification rigoureuse et de validation basée sur les attributs permet à ces clés de contourner les mesures de sécurité.Le firmware UEFI est souvent invisible aux logiciels EDR, ce qui rend difficile la détection des clés compromises. De plus, de nombreuses implémentations UEFI manquent de capacités de mesure ou d'audit à distance.Un attaquant ayant accès à la partie privée d'une PK compromise peut signer des logiciels UEFI malveillants, ce qui conduit à l'invalidation des fonctionnalités de sécurité, à l'installation de logiciels persistants, à la création de portes dérobées et à des dommages au système.Pour atténuer cette vulnérabilité, il est essentiel de mettre à jour le firmware UEFI vers la dernière version stable fournie par le fournisseur ou le revendeur.Des outils et des informations de Binarly peuvent être utilisés pour évaluer l'impact des clés de plateforme non fiables sur les systèmes.Les mises à jour automatiques du firmware doivent être utilisées pour maintenir le firmware à jour et atténuer les risques.