Come la vulnerabilità PKfail mette a rischio milioni di dispositivi

La recente scoperta di una vulnerabilità critica nel sistema Secure Boot ha scosso il mondo della sicurezza informatica. La falla, denominata PKfail, compromette la sicurezza di oltre 200 modelli di dispositivi prodotti da grandi nomi dell’hardware come Acer, Dell, Gigabyte, Intel e Supermicro. Questa vulnerabilità mette a rischio milioni di dispositivi, rendendo possibile l’esecuzione di codice non autorizzato durante l’avvio del sistema.

Il Meccanismo di Secure Boot

Secure Boot è stato introdotto nel 2012 come risposta alla crescente minaccia di malware che infettano il BIOS. Il sistema verifica digitalmente la firma di ogni componente software caricato durante l’avvio, bloccando il caricamento di codice non firmato con una firma digitale approvata. Questo meccanismo è integrato nel firmware UEFI, il successore del BIOS, e utilizza la crittografia a chiave pubblica per garantire la sicurezza.

I quattro elementi chiave del funzionamento di Secure Boot sono:

• Platform Key (PK): Fornisce l’ancoraggio root-of-trust sotto forma di chiave crittografica incorporata nel firmware di sistema, stabilendo fiducia tra l’hardware e il firmware.
• Key Exchange Key (KEK): Stabilisce fiducia tra il sistema operativo e il firmware della piattaforma.
• Signature Database (DB): Contiene firme e certificati attendibili per componenti UEFI di terze parti e boot loader approvati.
• Forbidden Signature Database (DBX): Contiene firme e certificati per revocare componenti di avvio precedentemente ritenuti attendibili, che non possono più essere eseguiti.

La Compromissione della Chiave di Piattaforma

Il problema di PKfail risiede nella compromissione della chiave crittografica fondamentale per Secure Boot, la Platform Key (PK). Nel dicembre 2022, questa chiave è stata pubblicata in un repository GitHub, protetta da una password di soli quattro caratteri, facilmente violabile. La chiave è diventata di pubblico dominio e la sua compromissione è rimasta inosservata fino a gennaio 2023, quando i ricercatori di Binarly l’hanno scoperta durante un’indagine su un incidente.

Le scansioni di Binarly hanno rivelato che 215 modelli di dispositivi utilizzano la chiave compromessa. Tuttavia, ulteriori analisi hanno identificato altre 21 PK utilizzate e condivise da numerosi produttori, portando il totale a oltre 900 modelli di dispositivi interessati. Questo corrisponde a milioni di sistemi in circolazione, inclusi server, portatili, schede madri e desktop all-in-one.

La Gravità della Situazione

La divulgazione della chiave rappresenta una grave violazione della sicurezza, rendendo milioni di dispositivi vulnerabili a potenziali attacchi informatici. Gli aggressori potrebbero sfruttare questa vulnerabilità per installare malware dannoso, rubare dati sensibili o prendere il controllo dei dispositivi compromessi. La possibilità di aggirare Secure Boot significa che un attaccante può eseguire codice non attendibile durante l’avvio del sistema sui dispositivi interessati.

Per risolvere il problema, sono necessarie due azioni fondamentali:

• I produttori devono sostituire le chiavi crittografiche compromesse con nuove chiavi generate in modo sicuro.
• Gli utenti e gli amministratori di sistema devono aggiornare il firmware e applicare le patch di sicurezza che risolvono la vulnerabilità PKfail.

Binarly ha condiviso strumenti per verificare se i sistemi sono vulnerabili. Gli utenti Windows possono eseguire un comando PowerShell per verificare se il loro dispositivo utilizza chiavi di piattaforma di test, mentre gli utenti Linux possono visualizzare il contenuto della variabile PK per rilevare certificati di prova.

Bullet Executive Summary

La scoperta della vulnerabilità PKfail evidenzia l’importanza di una gestione rigorosa delle chiavi crittografiche e della costante vigilanza nei confronti delle minacce emergenti. Secure Boot, considerato per anni un bastione inviolabile nella sicurezza informatica, si è rivelato vulnerabile a causa di una cattiva gestione delle chiavi crittografiche. Questo incidente sottolinea la necessità di adottare le migliori pratiche per la gestione delle chiavi e di garantire che le chiavi crittografiche siano univoche per ogni linea di prodotto e produttore.

In conclusione, la vulnerabilità PKfail rappresenta un campanello d’allarme per l’industria della sicurezza informatica. Anche i sistemi di sicurezza più sofisticati possono essere compromessi se non gestiti correttamente. È fondamentale che i produttori e gli utenti adottino misure proattive per proteggere i loro dispositivi e garantire la sicurezza dei dati.

Nota Tecnologica di Base: Secure Boot è un meccanismo di sicurezza che verifica digitalmente la firma di ogni componente software caricato durante l’avvio del sistema, bloccando il caricamento di codice non firmato con una firma digitale approvata.

Nota Tecnologica Avanzata: La crittografia a chiave pubblica utilizzata da Secure Boot si basa su una coppia di chiavi, una pubblica e una privata. La chiave pubblica è utilizzata per crittografare i dati, mentre la chiave privata è utilizzata per decrittografarli. La sicurezza di questo sistema dipende dalla protezione della chiave privata, che deve rimanere segreta.