Comprometer el proceso de arranque seguro Esto no es bueno: el jueves, los investigadores de la empresa de seguridad Binarly revelaron que el arranque seguro está completamente comprometido en más de 200 modelos de dispositivos vendidos por Acer, Dell, Gigabyte, Intel y Supermicro. La causa: una clave criptográfica que sustenta el arranque seguro en esos modelos que se vio comprometida en 2022. En un repositorio público de GitHub comprometido en diciembre de ese año, alguien que trabajaba para varios fabricantes de dispositivos con sede en EE. UU. publicó lo que se conoce como clave de plataforma, la clave criptográfica que forma el ancla de raíz de confianza entre el dispositivo de hardware y el firmware que se ejecuta en él. El repositorio estaba ubicado en https://github.com/raywu-aaeon/Ryzen2000_4000.git, y no está claro cuándo fue eliminado. El repositorio incluía la parte privada de la clave de la plataforma en forma cifrada. Sin embargo, el archivo cifrado estaba protegido por una contraseña de cuatro caracteres, una decisión que hizo que fuera trivial para Binarly, y cualquier otra persona con una mínima curiosidad, descifrar el código de acceso y recuperar el texto sin formato correspondiente. La divulgación de la clave pasó prácticamente desapercibida hasta enero de 2023, cuando los investigadores de Binarly la encontraron mientras investigaban un incidente en la cadena de suministro. Ahora que la filtración ha salido a la luz, los expertos en seguridad afirman que torpedea efectivamente las garantías de seguridad ofrecidas por Secure Boot.
[…]
Estas claves fueron creadas por AMI, uno de los tres principales proveedores de kits para desarrolladores de software que los fabricantes de dispositivos utilizan para personalizar su firmware UEFI para que se ejecute en sus configuraciones de hardware específicas. Como sugieren las cadenas, las claves nunca estuvieron pensadas para usarse en sistemas de producción. En cambio, AMI se las proporcionó a los clientes o posibles clientes para que las probaran. Por razones que no están claras, las claves de prueba llegaron a los dispositivos de una lista casi inagotable de fabricantes. Además de los cinco fabricantes mencionados anteriormente, se incluyen Aopen, Foremelife, Fujitsu, HP, Lenovo y Supermicro. Etiquetas: criptografía, cifrado, claves, contraseñas, cadena de suministro, vulnerabilidades Publicado el 26 de julio de 2024 a las 12:21 PM • 0 comentarios