Масштабная уязвимость в системе безопасности Secure Boot, получившая название PKfail, оказалась гораздо более распространённой, чем предполагалось ранее. Проблема, названная PKfail, затрагивает банкоматы, платёжные терминалы, медицинские устройства, игровые консоли, корпоративные серверы и даже машины для голосования. Использование тестовых ключей платформы в производственных системах на протяжении более 10 лет поставило под угрозу безопасность устройств от ведущих производителей отрасли.

Источник изображения: geralt / Pixabay

Исследователи компании Binarly обнаружили, что количество моделей устройств, использующих скомпрометированные тестовые ключи платформы, возросло с 513 до 972. Среди затронутых производителей — Acer, Dell, Gigabyte, Intel, Supermicro, Aopen, Fornelife, Fujitsu, HP и Lenovo. Ключи, помеченные фразами «DO NOT TRUST» (НЕ ДОВЕРЯТЬ) в сертификатах, никогда не предназначались для использования в промышленных системах, однако оказались внедрены в сотни моделей устройств.

Платформенные ключи формируют криптографический якорь доверия (root-of-trust anchor) между аппаратным обеспечением и прошивкой. Они являются фундаментом для Secure Boot — отраслевого стандарта, обеспечивающего криптографическую защиту в предзагрузочной среде устройства. Интегрированный в UEFI (Unified Extensible Firmware Interface), Secure Boot использует криптографию с открытым ключом для блокировки загрузки любого кода, не подписанного предварительно одобренной цифровой подписью. Компрометация этих ключей подрывает всю цепочку безопасности, установленную Secure Boot.

Ситуация усугубилась после публикации в 2022 году на GitHub закрытой части одного из тестовых ключей. Это открыло возможность для проведения сложных атак с внедрением руткитов в UEFI устройств, защищённых Secure Boot. Количество моделей, использующих этот конкретный скомпрометированный ключ, выросло с 215 до 490. Всего исследователи выявили около 20 различных тестовых ключей, четыре из которых были обнаружены недавно.

Анализ 10 095 уникальных образов прошивок, проведённый с помощью инструмента Binarly, показал, что 8 % (791 образ) содержат непроизводственные ключи. Проблема затрагивает не только персональные компьютеры, но и медицинские устройства, игровые консоли, корпоративные серверы и критически важную инфраструктуру.

Ранее все обнаруженные ключи были получены от компании AMI, одного из трёх основных поставщиков комплектов средств разработки (SDK) программного обеспечения (ПО), которые производители устройств используют для настройки прошивки UEFI, чтобы она работала на их конкретных аппаратных конфигурациях. С июля Binarly обнаружил ключи, принадлежащие конкурентам AMI — компаниям Insyde и Phoenix. Binarly также обнаружила, что следующие три производителя также продают устройства, пострадавшие от PKfail:

• Hardkernel Odroid-H2, Odroid-H3 и Odroid-H4
• Beelink Mini 12 Pro
• Minisforum HX99G

Уязвимости присвоены идентификаторы CVE-2024-8105 и VU#455367. PKfail не представляет угрозы для устройств, не использующих Secure Boot, но подрывает безопасность систем, где эта защита обязательна — например, у государственных подрядчиков и в корпоративных средах.

С последним ежемесячным обновлением безопасности Microsoft посеяла хаос на ПК с двойной загрузкой Windows и Linux. Оно было призвано исправить двухлетнюю уязвимость в загрузчике с открытым исходным кодом GRUB, не затронув компьютеры с двумя ОС, но апдейт всё-таки стал мешать системам семейства Linux нормально загружаться.

Источник изображения: BoliviaInteligente / unsplash.com

Пользователи, у которых на одной машине установлены Windows и Linux, начали жаловаться, что при попытке загрузить вторую систему стали выводиться сообщения о «нарушении политики безопасности», или что «что-то всерьёз пошло не так». Ошибки зафиксированы в работе дистрибутивов Ubuntu, Debian, Linux Mint, Zorin OS и Puppy Linux.

Обновление было призвано устранить уязвимость, которая позволяла хакерам обходить Secure Boot — защиту от запуска вредоносного ПО до загрузки ОС, которая широко применяется в Windows и дистрибутивах Linux. Microsoft обещала, что обновление заблокирует уязвимые загрузчики Linux, способные повлиять на безопасность Windows, но не будет применяться к ПК с двойной загрузкой, поэтому оно «не должно влиять на эти системы».

Комментариев от Microsoft о неполадках в последнем обновлении не поступало, но пользователи Ubuntu уже нашли решающий проблему обходной путь. Необходимо отключить Secure Boot в BIOS, войти в учётную запись пользователя Ubuntu и через терминал удалить политику Microsoft SBAT (Secure Boot Advanced Targeting). Microsoft использует Secure Boot уже много лет, и поддержка этого протокола необходима для работы Windows 11 для защиты от руткитов BIOS. Правда, за последние годы в Secure Boot было обнаружено множество уязвимостей, а недавно выяснилось, что протокол скомпрометирован на большом числе ПК.

Эксперты по вопросам кибербезопасности компании Binarly обнаружили, что используемый в прошивках UEFI протокол Secure Boot скомпрометирован на более чем 200 моделей ПК и серверов крупнейших мировых производителей. Причиной проблемы называется безответственное отношение производителей к управлению криптографическими ключами, обеспечивающими защиту Secure Boot.

Источник изображения: Pete Linforth / pixabay.com

Технология Secure Boot стала отраслевым стандартом в 2012 году, когда сформировалось понимание, что может появиться вредоносное ПО, способное заражать BIOS —набор низкоуровневых микропрограмм, которые выполняются до загрузки операционной системы. Накануне исследователи из компании Binarly объявили, что протокол Secure Boot полностью скомпрометирован на более чем 200 моделях компьютеров, выпускаемых под марками Acer, Dell, Gigabyte, Intel и Supermicro, потому что в 2022 году в одном из репозиториев GitHub был скомпрометирован криптографический ключ, обеспечивающий доверие между аппаратной частью компьютера и работающей на ней прошивкой. Исследователи Binarly обнаружили утечку в январе 2023 года.

Вскоре стало ясно, что под угрозой ещё более 300 моделей компьютеров от практически всех крупных производителей — был обнаружен ещё 21 ключ с пометками «DO NOT SHIP» («не отгружать») и «DO NOT TRUST» («не доверять»). Эти ключи созданы компанией AMI (American Megatrends Incorporated) — одним из трёх крупнейших разработчиков ПО, с помощью которого производители оборудования создают собственные прошивки UEFI для конкретных конфигураций. Пометки указывают, что эти ключи не предназначались для использования в серийно выпускаемой продукции — они поставлялись AMI актуальным или потенциальным клиентам для тестирования, но в действительности использовались на продукции в серийном производстве. Проблема коснулась Aopen, Foremelife, Fujitsu, HP, Lenovo и Supermicro.

Источник изображения: Gerd Altmann / pixabay.com

Эксперты по безопасности рекомендуют, чтобы эти криптографические ключи были уникальными для каждой линейки продукции или как минимум для каждого производителя. А в идеале их следует даже время от времени менять. В реальности обнаруженные Binarly ключи использовались более чем десятком различных производителей более десяти лет. Идентичные тестовые ключи обнаруживались как в потребительских ПК, так и в серверах; и по меньшей мере один использовался тремя разными производителями. Компания озаглавила своё открытие PKfail, чтобы подчеркнуть неспособность всей отрасли обеспечить должное управление ключами шифрования, в результате чего возникла угроза для всей цепочки поставок. Обход защиты Secure Boot означает возможность запускать любые исполняемые файлы на уязвимой машине ещё до загрузки ОС.

Инциденты меньших масштабов отмечались и раньше. В 2016 году в продукции Lenovo был обнаружен ключ AMI с пометкой «DO NOT TRUST» — тогда была зарегистрирована уязвимость CVE-2016-5242. В прошлом году хакеры группировки Money Message похитили два ключа MSI, из-за чего под угрозой оказались 57 моделей ноутбуков компании. Ресурс Ars Technica направил в упомянутые в связи с PKfail компании запросы и получил ответы не от всех. Только в Supermicro заявили, что решили проблему, выпустив обновления BIOS. В Intel, HP, Lenovo и Fujitsu дали очень похожие ответы, отметив, что потенциально уязвимая продукция уже снята с производства, продаж и больше не поддерживается. Полный список уязвимой продукции Binarly опубликовала на GitHub.

В прошивках Phoenix UEFI присутствует уязвимость, которая затронула широкий спектр ПК, выпущенных крупнейшими производителями на широком ассортименте процессоров Intel разных поколений. Рекомендовано установить последнюю версию BIOS.

Источник изображения: Thomas / pixabay.com

Уязвимость CVE-2024-0762 обнаружена в прошивке Phoenix SecureCore UEFI экспертами по кибербезопасности компании Eclypsium на ноутбуках Lenovo ThinkPad X1 Carbon 7 поколения и X1 Yoga 4 поколения. Дальнейшее её изучение показало, что она затрагивает машины на широком спектре процессоров Intel, включая Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake и Tiger Lake — под ударом могут оказаться ПК производства Lenovo, Dell, Acer и HP. Уязвимость связана с ошибкой переполнения буфера в конфигурации Trusted Platform Module (TPM) — она позволяет злоумышленникам повышать привилегии и выполнять код в UEFI. Само наличие TPM для эксплуатации уязвимости не обязательно.

Прошивка UEFI считается более безопасной из-за функции Secure Boot, которая поддерживается современными ОС, включая Windows, macOS и Linux. Но, пользуясь ошибками в её реализации, хакеры создают буткиты, такие как BlackLotus, CosmicStrand и MosaicAggressor — они срабатывают на ранних этапах загрузки UEFI и предоставляют потенциальным злоумышленникам низкоуровневый доступ к системе, обнаружить который чрезвычайно сложно.

Lenovo начала выпуск обновлений прошивки для затронутых уязвимостью устройств. Пока обновления доступны не для всех моделей, но значительную часть ассортимента компания надеется охватить до конца года. Phoenix Technologies сообщила, что закрыла уязвимость в апреле, а в мае предала огласке информацию о ней.

Ранее на этой неделе Microsoft выпустила патч для исправления уязвимости Secure Boot, используемой буткитом BlackLotus, о котором мы сообщали в марте. Первоначальная уязвимость CVE-2022-21894 была исправлена в январе. Новый патч безопасности CVE-2023-24932 устраняет другой активно используемый злоумышленниками обходной путь для систем под управлением Windows 10/11 и версий Windows Server, начиная с Windows Server 2008.

Источник изображения: pixabay

Буткит BlackLotus — это вредоносное ПО, которое способно обходить средства защиты Secure Boot, позволяя выполнять вредоносный код до того, как компьютер начнёт загружать Windows и её многочисленные средства защиты. Безопасная загрузка уже более десяти лет включена по умолчанию на большинстве ПК с Windows, продаваемых такими компаниями, как Dell, Lenovo, HP, Acer и другими. На компьютерах под управлением Windows 11 она должна быть включена, чтобы соответствовать системным требованиям программного обеспечения.

Microsoft заявляет, что уязвимость может быть использована злоумышленником, имеющим либо физический доступ к системе, либо права администратора. Новое исправление безопасности выделяется тем, что компьютер больше не сможет загружаться со старых загрузочных носителей, не содержащих исправления. Не желая внезапно сделать пользовательские системы незагружаемыми, Microsoft намерена выпускать обновление поэтапно в течение следующих нескольких месяцев. В июле последует второе обновление, которое не включит исправление по умолчанию, но упростит его включение. Третье обновление в первом квартале 2024 года активирует обновление безопасности по умолчанию и сделает старые загрузочные носители недоступными для загрузки на всех ПК с установленными исправлениями Windows. Microsoft говорит, что «ищет возможности ускорить этот график».

Это не единственный недавний инцидент с безопасностью, подчёркивающий трудности исправления низкоуровневых уязвимостей Secure Boot и UEFI. У компании MSI недавно произошла утечка ключей подписи в результате атаки программы-вымогателя, после чего Intel, ответственная за аппаратную защиту целостности загрузки BIOS, выпустила официальное заявление по поводу случившегося.

26 марта Western Digital сообщила о серьёзном инциденте информационной безопасности в своей корпоративной сети, затронувшем данные разработчика и клиентов, а также вызвавшем ряд проблем в функционировании онлайновых сервисов компании, в том числе интернет-магазина, работа которого до сих пор не восстановлена.

Источник изображения: pixabay

5 мая Western Digital опубликовала пресс-релиз, раскрывающий некоторые подробности по этому вопросу. В официальном заявлении сообщается о планах по запуску интернет-магазина 15 мая. Помимо кражи сведений о клиентах, также был скомпрометирован ряд данных партнёров и частных организаций. Киберпреступники получили доступ к цифровым сертификатам, однако Western Digital утверждает, что у компании есть возможность отзывать любые скомпрометированные сертификаты по мере необходимости.

Кибератака также понесла за собой и финансовые последствия для вендора. Western Digital опубликовала отчёт о финансовых результатах за третий квартал 2023 года, в котором показано влияние последних событий на финансовый результат. Согласно отчёту, выручка снизилась на 10 % в квартальном исчислении, хотя отчасти это, вероятно, связано с глобальным спадом на рынке, а не с взломом.

На данный момент неясно, сколько времени потребуется, чтобы полностью восстановить предыдущую функциональность онлайн-систем и устранить последствия утечки данных.

Программное обеспечение Endpoint detection and response (EDR) стало популярным способом защиты от атак программ-вымогателей. Однако исследователи говорят, что взломы, связанные с этой технологией, хоть и редкие, но постепенно происходят всё чаще.

Источник изображения: freepik

По мере того, как хакерские атаки становятся все более разрушительными и всепроникающими, мощные инструменты защиты от таких компаний, как CrowdStrike Holdings и Microsoft, стали очень важны для индустрии кибербезопасности. Программное обеспечение для обнаружения конечных точек и реагирования на них (EDR) предназначено для обнаружения ранних признаков вредоносной активности на ноутбуках, компьютерах, серверах и других устройствах — «конечных точках» в компьютерной сети — и блокирования их до того, как злоумышленники смогут украсть данные или сами заблокируют устройство.

Однако эксперты говорят, что хакеры разработали обходные пути для некоторых форм технологии EDR, что позволило им обойти продукты, которые стали золотым стандартом для защиты критически важных систем. Исследователи из нескольких фирм, занимающихся кибербезопасностью, заявили, что количество атак, в которых EDR отключается или обходится, невелико, но растёт, и что хакеры становятся все более изобретательными в поиске способов обойти более надёжную защиту, которую он обеспечивает. По данным IDC, рынок EDR и других новых технологий безопасности конечных точек вырос на 27% и достиг 8,6 млрд долларов в мире в прошлом году, во главе с CrowdStrike и Microsoft.

Один ранее не сообщавшийся инцидент, раскрытый Bloomberg News, произошёл в октябре, когда датская группа безопасности CSIS расследовала взлом европейской производственной компании. По словам Яна Каструпа (Jan Kaastrup), директора по инновациям CSIS, хакеры использовали ранее неизвестную уязвимость в EDR Microsoft и упаковали вредоносное ПО таким образом, чтобы оно было обнаружено инструментом безопасности, который предупредил ИТ-команду жертвы о том, что атака была заблокирована.

Нарушение не было обнаружено до тех пор, пока жертва не заметила, что данные покидают корпоративную сеть, и не связалась с датской фирмой. Каструп добавил, что «программное обеспечение для безопасности не может работать само по себе — нам нужны глаза на экране в сочетании с технологиями».

Системы искусственного интеллекта уже применяются для создания графики, чат-ботов и даже управления умными домами. Компания Microsoft доверила ИИ одну из важнейших сфер современной жизни — защиту от киберугроз. Инструмент Security Copilot позволяет распознать кибератаку, даже когда явные признаки ещё отсутствуют и помогает в её устранении.

Источник изображения: Sigmund Avatar/unsplash.com

В ситуациях, когда безопасность компьютера по какой-то причине оказалась под угрозой, Security Copilot поможет определить, что случилось, что делать, и как предотвратить повторение аналогичных инцидентов у других. Компания представила новое решение на базе модели GPT-4 — Security Copilot помогает справиться с угрозами корпоративным клиентам.

Пока инструмент доступен именно корпоративным клиентам. Та же большая языковая модель, что отвечает за работу приложений вроде Bing Chat, стоит и за Security Copilot. Тем не менее, в данном случае речь идёт о варианте, специально обученном на материалах и терминологии, используемых IT-профессионалами. Кроме того, Microsoft уже подключила Copilot к другим своим инструментам, отвечающим за обеспечение безопасности. В компании обещают, что со временем он сможет использовать и сторонние программные решения.

Если большинство пользовательских приложений на основе GPT-4 обучались на уже несколько устаревших массивах данных, то Security Copilot получает новую информацию в режиме реального времени, изучая буквально триллионы сигналов об угрозах, которые Microsoft получает ежедневно. В этом преимущество модели — Security Copilot может распознавать скрытые сигналы ещё до того, как факт атаки стал очевиден. Благодаря этому, инструмент может использоваться для распознавания и своевременного устранения угроз.

При этом довольно давно выяснилось, что у ИИ вроде ChatGPT, Bing Chat или Google Bard могут случаться «галлюцинации», в ходе которых за основу «рассуждений» принимаются совершенно недостоверные факты. В сфере безопасности это может стать очень опасным явлением. В Microsoft уже подтвердили, что Security Copilot «не всегда понимает всё правильно». К счастью, в случае с продуктом Microsoft предусмотрен механизм обратной связи с пользователями, позволяющий предоставлять всё более релевантные ответы.

Пока Microsoft не сообщала, что может произойти в случае столкновения защитного ИИ с ИИ, работающем на злоумышленников, например — созданным для атаки на пользователей и бизнесы. В любом случае компания сообщила, что корпоративные клиенты уже могут протестировать Security Copilot на небольшом сегменте своих пользователей. Если эксперимент увенчается успехом, в будущем, вероятно, он сможет помочь и обычным пользователям.

В «Лаборатории Касперского» разрабатывают корпоративный каталог приложений для создаваемой компанией операционной системы. Об этом сообщает портал RSpectr со ссылкой на слова главы департамента платформенных решений на базе KasperskyOS Дмитрия Лукияна. Уже известно, что проект разделят на три специальных блока.

Источник изображения: "Лаборатория Касперского"

По словам Лукияна, первый, называемый порталом разработчиков, даст необходимые сведения о том, чем является KasperskyOS, на каких принципах работает программное обеспечение и как программировать для этой среды. В блоке представлены инструменты для разработки ПО, включая SDK (software development kit). Сообщается, что приложения будут работать только на KasperskyOS.

Второй блок представляет собой портал для возможных клиентов, где те смогут ознакомиться с уже доступными приложениями. Наконец, третий блок представляет собой инструмент, «который позволит управлять всем жизненным циклом приложений за счёт интеграции с Kaspersky Security Center» — это масштабируемая централизованная система управления устройствами. Монетизировать проект компания намерена благодаря продаже лицензионных ключей для Kaspersky Security Center. По данным Лукияна, разрабатывать каталог начали ещё в середине 2021 года, инвестиции уже достигли $1,5 млн за два года сотрудничества — в проекте помимо «Лаборатории Касперского» принимают участие «Инфотекс», Апротех и «МойОфис».

Ожидается, что первым продуктом, подключенным к каталогу, станет шлюз Kaspersky IoT Secure Gateway 1000 для промышленного Интернета вещей — речь идёт о сетевом оборудовании для объединения датчиков и передачи с них данных. Далее, как сообщают в лаборатории, в каталоге появится программное обеспечение «для всех кибериммунных решений на базе KasperskyOS».

До публикации в каталоге приложение будут проверяться: возможная вредоносность приложения, его совместимость с разными версиями KasperskyOS и соответствие ПО требованиям к разработчикам — последние будут опубликованы ближе к премьере маркетплейса. Запуск полнофункциональной версии корпоративного каталога ПО для новой операционной системы запланирован на конец 2023 — начало 2024 гг.

Ранее сообщалось, что «Лаборатория Касперского» дебютировала с решениями KasperskyOS на международном рынке.

Представители MSI сообщили через форум на Reddit, что компания ведёт разработку обновлений прошивок для своих материнских плат, которые «починят» сломанную ранее функцию Secure Boot (безопасная загрузка), отвечающую за безопасную загрузку системы.

Источник изображений: MSI

Ранее сообщалось, что у 290 моделей материнских плат компании MSI после обновления прошивки некоторые функции Secure Boot перестали быть включены по умолчанию. В частности, параметр «Политика выполнения образов» в Secure Boot установлен на «Всегда выполнять». Из-за этого на компьютерах могут запускаться любые образы операционных систем, независимо от наличия у них цифровой подписи и её подлинности. То есть можно установить взломанную систему с вредоносным ПО. В MSI сообщили, что выпустят новые прошивки, в которых параметр «Политика выполнения образов» будет по умолчанию установлен на «Отказать в исполнении».

«MSI реализовала механизм Secure Boot на своих материнских платах следуя рекомендациям Microsoft и AMI для запуска операционной системы Windows 11. Мы по умолчанию включили функцию Secure Boot и параметр "Всегда выполнять" для удобства пользователей, чтобы обеспечить более гибкие возможности в вопросе самостоятельной сборки своих персональных компьютеров.

Пользователи, которые очень сильно беспокоятся вопросами безопасности, в настройках Secure Boot в параметре "Политика выполнения образов" могут вручную установить "Отказать в исполнении", а также использовать другие способы повышения безопасности ПК. В ответ на сообщения пользователей о вопросе безопасности предустановленных настроек BIOS компания MSI выпустит обновление прошивки для своих материнских плат, в которых по умолчанию будет включён параметр "Отказать в исполнении" при загрузке образов ОС. Компания также сохранит механизм выбора загрузки ОС в настройках Secure Boot, благодаря чему пользователи смогут изменять их согласно своим нуждам», — прокомментировала ситуацию MSI на своей официальной странице на Reddit.

Когда именно будут выпущены новые прошивки, компания не уточнила. Но, судя по всему, это случится в ближайшее время.