Kwetsbaarheid door standaardkey maakt Secure Boot op honderden pc-typen onveilig

Honderden laptopmodellen van verschillende merken gebruiken een onveilige Secure Boot-key. Daardoor is het op minstens 900 modellen van bekende merken zoals Acer en Dell mogelijk om uefimalware zoals bootkits te plaatsen of Secure Boot volledig uit te schakelen.

Onderzoekers van Binarly trekken deze conclusie in een onderzoek dat ze PKfail noemen. Dat is een verwijzing naar de Platform Key die in dit geval Secure Boot onveilig maakt. Secure Boot is een methode om een apparaat alleen te booten als software, zoals het besturingssysteem, cryptografisch wordt geverifieerd door de fabrikant of de verkoper. Op die manier weten gebruikers dat er niet heimelijk met het besturingssysteem is geknoeid.

De onderzoekers zeggen dat de getroffen modellen een Platform Key gebruiken die niet meer veilig is. Zo'n Platform Key is een soort masterkey voor Secure Boot-apparaten. De onderzoekers vonden online een Git-repository waarin die masterkey stond. Die repo werd in december 2022 bijgewerkt, maar is inmiddels offline gehaald. Het is niet bekend wanneer dat is gebeurd en wie er in de tussentijd toegang toe heeft gehad, maar volgens de onderzoekers zijn alle apparaten die gebruikmaken van die masterkey kwetsbaar. De Git-repo was zelf versleuteld, maar het wachtwoord bestond uit slechts vier tekens en was daarom relatief eenvoudig te achterhalen.

De Platform Key is aangemaakt door American Megatrends International. Met de key kunnen platformbouwers hun eigen versie van Secure Boot maken om die in hun uefi te verwerken. Vervolgens is het de bedoeling dat de makers die sleutel vervangen door een zelfgegenereerde sleutel, maar volgens de onderzoekers van Binarly gebeurde dat bij veel verschillende modellen niet. Sterker nog, de makers negeerden een specifieke string in de code waarin duidelijk staat dat de voorbeeldkey niet vertrouwd mag worden.

Binarly

De onderzoekers keken naar een interne dataset met uefifirmware-images en scanden die op het gebruik van de betreffende Platform Key. Volgens hen zijn er ruim 900 laptops en systemen van onder andere Acer, Dell, Gigabyte, HP en Lenovo die kwetsbaar zijn voor PKfail. Daardoor is het mogelijk om Secure Boot helemaal te omzeilen en zo code op een systeem te installeren, zoals een uefirootkit.

Dat is in de praktijk echter behoorlijk veel werk; een aanvaller moet daarvoor nog steeds de Key Exchange Key-, de Signature- en de Forbidden Signature-databases op een systeem weten te manipuleren. Wel hebben de onderzoekers ook een proof-of-concept uitgebracht. Dat toont aan hoe de bug op zowel een Windows- als Ubuntu-pc kan worden uitgebuit.

Binarly zegt dat fabrikanten het probleem kunnen mitigeren door een eigen Platform Key te maken en beheren. Binarly ontdekte de problemen in april en heeft naar eigen zeggen 90 dagen gewacht om de bevindingen openbaar te maken, de standaardtijd die het aanhoudt voor responsible disclosure. Opvallend is dat Binarly niets schrijft over contact met individuele fabrikanten. Het bedrijf heeft alleen het Amerikaanse CERT op de hoogte gesteld. Het is daarom onbekend welke fabrikanten mogelijk al een mitigatie hebben doorgevoerd. Verder heeft het bedrijf een tool online gezet waarin gebruikers binary's kunnen uploaden om te controleren of ze kwetsbaar zijn voor de bug.

Update: in het artikel stond aanvankelijk dat ASUS-pc's kwetsbaar waren, maar dat klopt niet. ASUS wordt niet genoemd in de lijst van kwetsbare modellen.

Reacties (69)

yevgeny 26 juli 2024 15:33

open een administrator power shell

type op één regel:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI PK).bytes) -match "DO NOT TRUST|DO NOT SHIP"

macfreak1306

@yevgeny • 28 juli 2024 22:13

Dit regeltje code vertelt mij dat niet alleen de grote namen die benoemd worden in de post geraakt zijn. Ook mijn BTO laptop spuugt "True" uit bij het draaien van deze code. Al heb ik secure boot toch al uit staan omdat ik anders mijn dual boot met linux niet werkend kreeg haha

markg85 26 juli 2024 16:25

Secure boot is toch een enorme "beveiliging grap".
Wat bescherm je er nou echt mee? Je boot process. Dus dat je systeem een stukje code boot wat een geldige signature heeft. Je zou misschien naïef kunnen denken drivers daar ook onder vallen omdat die tenslotte tijdens het boot process geladen worden. Drivers zijn os-specifiek en worden door je os geladen (tijdens boot), secure boot gaat niets helpen bij een malafide driver.

Dus waar dient secure boot dan voor? Je kent het wel, die USB sticks die een windows/linux opstarten. Die werken niet - of moeilijk - met secure boot. Dual boot met windows/linux? Ja, dat wordt al knap irritant als secure boot aan staat. Ik denk eigenlijk dat je wel kan stellen dat secure boot een handige gestandaardiseerde feature is voor vendor lock-in. Apple of microsoft hoeft tenslotte alleen hun boot maar te signen, secure boot aan en het wordt praktisch onmogelijk om er een ander os op te draaien. Andere plekken waar het me een toegevoegde waarde kan hebben is bijvoorbeeld een ASML of bedrijven die aan militaire/geheime dingen werken. Al zullen dat soort organisaties al snel veel meer hebben aan whole-disc-encryptie.

Ik draai al zo lang als ik uefi moederborden heb met secure boot uit. Maargoed, ben dan ook een linux desktop gebruiker dus moet bijna wel

GertMenkel

Beveiliging en antivirus

@markg85 • 26 juli 2024 17:43

Secure boot maakt rootkits bijna onmogelijk. Helemaal als je het optimaal gebruikt (dus de third party keys uitzetten als je Windows gebruikt, of je eigen keys provisionen als je Linux installeert).

Secure boot is slechts één stap in een lijst van beveiligingsstappen. De CPU valideert de firmware, de firmware valideert de bootloader, de bootloader valideert de OS-loader, de OS-loader valideert de kernel, de kernel valideert de drivers, enzovoorts. Het principe achter secure boot is exact waarom iOS zo lastig te hacken/rooten is.

Een dief kan je OS niet zomaar aanpassen en malafide drivers toevoegen mits deze versleuteld is. Die versleuteling kan automatisch via de TPM ontgrendeld worden (zoals op Windows 11, of Ubuntu). Om dat mogelijk te maken, moet er echter ergens een stuk onversleutelde software staan; de UEFI-executables die je OS laden. Om te verifiëren dat daar niet mee geknoeid is, heb je secure boot.

Als je alleen versleuteling doet, kan iemand de bootloader die de sleutel accepteert vervangen en na het opstarten de key laten mailen. Onderdeel van het threat model van secure boot is dat je op het vliegveld of in het hotel je laptop een paar uur niet gebruikt en daarna het ding weer in gebruik neemt.

Linux doet het prima met secure boot, tenzij een hele niche distro gebruikt. De beveiliging die daarop geboden wordt is wel een stuk minder, omdat de kernel niet controleert of de drivers getekend zijn en de meeste installaties geen versleuteling gebruiken.

Er zijn apparaten van Microsoft waar ze alleen maar de Microsoft-keys in de secure boot-configuratie hebben ze stopt. Dat zijn een paar laptops uit de Surface-lijn en een paart zakelijke apparaten. Bijna alle consumentenapparatuur kan gewoon secure boot uitzetten of aan laten en eigen keys inladen.

[Reactie gewijzigd door GertMenkel op 26 juli 2024 17:48]

lezzmeister @GertMenkel • 27 juli 2024 08:51

Soms kom je het toch tegen, ik had een Acer laptop, standaard consumenten apparaat, secure boot en het was niet uit te zetten, andere keys wilde het ding met geen mogelijkheid slikken, uiteindelijk geprobeerd de key store te legen en werd iedere boot geweigerd. Acer support wilde een bak geld om hulp te geven maar dat was de laptop al lang niet meer waard en geen garantie op een oplossing. Onderdelen eruit gerukt en verpatst, ding de bak in. Doei.

Later kwam ik het weer tegen op, jawel, weer een Acer. Het gebeurt zeker wel.

Rete irritant.

GertMenkel

Beveiliging en antivirus

@lezzmeister • 27 juli 2024 11:28

Microsoft heeft een programma van "secured-core PC's" waar je mogelijkheden standaard ietwat beperkt zijn. Zelfs daar zou je die optie uit moeten kunnen schakelen.

Nu zijn mijn ervaringen met Acer sowieso zodanig dat ik nooit een van hun laptops zou kopen, maar het is toch wel teleurstellend dat hun UEFI nog zo buggy is. Ik meen me te herinneren dat ze een reeks laptops hadden uitgebracht waar je een wachtwoord op de UEFI moest instellen eer je bij de secure boot-instellingen kon komen, anders lieten ze de optie niet eens zien, maar dat is echt al jaren terug.

frankd2011 @GertMenkel • 28 juli 2024 12:50

BIOS wachtwoord instellen dan kan je wel Secure Boot uitzetten bij Acer Kijk maar op YouTube of Google maar

PatrickvH @lezzmeister • 27 juli 2024 13:30

Precies dat had ik met een Acer Travelmate P4 afgelopen maart.

Vond het al een beetje apart dat hij zonder beschadigingen bij Coolblue tweedekans afgeprijsd was van € 1100 naar € 450.

Ik kon via Rufus en originele Microsoft USB tool met geen mogelijkheid Windows 10 op installeren.
Uiteindelijk maar via iso mounten de setup gedraaid voor downgrade W11 naar W10.

Laptop na een weekje weer teruggestuurd want de fans van het kreng maakte bij minimale taken al flink wat herrie.

20 jaar terug hoefde ik eigenlijk al niet meer een Acer. Toch weer een kans gegeven maar blijft bagger spul!

basmevissen

@GertMenkel • 28 juli 2024 21:36

Linux laadt geen drivers zonder dat ze ondertekend zijn met een juiste key als secure boot mode aan staat.
De zwakheid van Linux is dat de initramfs uit je doorgaans onversleutelde /boot zonder enige controle wordt geaccepteerd. Tegenwoordig ondersteund GRUB ook (met beperkingen) LUKS2, dus dat is dan de manier om het uiteindelijk op te lossen. Helaas is dit nog geen gemeengoed onder de Linux distributies.

begintmeta @markg85 • 26 juli 2024 17:35

Ik ben een Linux desktop-gebruiken (incidenteel ook dual boot) en ik heb weinig last van secure boot.

Over het algemeen vervang ik de bestaande keys door mijn eigen key. Bij een bootloader- of kernelupdates moet de boel natuurlijk opnieuw worden gesigned. (dat is volgens mij de bedoeling van secure boot, alleen dat zou moeten kunnen booten wat je zelf signed)

[Reactie gewijzigd door begintmeta op 26 juli 2024 17:38]

markg85 @begintmeta • 26 juli 2024 17:44

Gefeliciteerd, je ben oprecht uniek

Van de Linux gebruikers die Secure boot gebruikt zal je al vrij zeldzaam zijn. Maar van die gebruikers die dan ook nog door de last gaat om zelf te signen is zelfs binnen die hoek zeldzaam.

Stetsed @markg85 • 26 juli 2024 18:30

Ik ben nog zo’n persoon die zijn eigen keys gebruikt in secure boot, en je hebt zeker well gelijk. Meest gebruikers(zelfs redelijke technische adapte) die worden meteen grijs in de ogen als je er over begint te praten. En zelfs als je het doet ga je er van uit dat het moederbord een tamper-resistant secure storage heeft, met mijn moederboard bijvoorbeeld op mijn desktop als je hem hard reset(CMOS eruit en helemaal leeg laten lopen), dan reset hij secure boot terug naar factory settings, dus dan doet dit eigenlijk vrij weinig.

Natuurlijk kan je daar dingen tegen implementeren(TPM verificatie etc), maar op dat punt moet ben ik zelf een beetje van “Ja wie zit ik nou tegen te verdedigen”. Ik maak gebruik van FDE en andere zulke dingen dus als iemand zo erg mijn data willen hebben geef ik hun de groeten en veel geluk. Uiteindelijk kan je niet tegen als verdedigen.

Relevante XKCD: https://xkcd.com/538/

[Reactie gewijzigd door Stetsed op 26 juli 2024 18:33]

Teun! @begintmeta • 26 juli 2024 21:31

Ik heb hier ook over zitten denken, helaas ben ik bang dat als ik het verkeerd doe de laptop niet meer boot. Hook je deze zodat die automagisch gesigned wordt als je update?

Jazco2nd @markg85 • 26 juli 2024 16:34

Sterker nog, Secure Boot is helemaal niet zo secure als mensen denken en dient enkel en alleen als bescherming wanneer men reeds fysiek toegang tot je laptop heeft.

Zeker voor een consumenten/thuis laptop dus niet heel nuttig.
Maar zelfs die bescherming tegen fysieke toegang, wat Secure Boot zou moeten zijn, schijnt heel brak te zijn. Dus ook voor werken in een publieke plek, is het niet iets waarop je kan vertrouwen.

Ik heb ooit dit stukje tekst opgeslagen, komt wel van een Linux developer maar is volgens mij algemeen:

The way Secure Boot works in practice currently (probably >2028) isn’t really very secure. It’s promoted in concept by a lot of people and organizations, rightfully so, but the current implementation for desktop systems doesn’t really add much security.
The security mitigation of Secure Boot is mostly supposed to be against physically-present attackers (i.e. Evil Maid), attacking a system that is off, to bypass other existing security mechanisms, in order to add malicious software or access protected data. Additionally, unless you’ve taken very extreme manual steps in setting up Secure Boot, signing keys from Microsoft, your hardware vendor, Fedora, and any signing keys you manually added (e.g. dkms/akmods driver signing keys) can all be used to sign things for secure boot. Microsoft has already had a few cases where malware was found to be signed with their keys just recently, and most hardware vendors are so terrible at security that they just use the same keys for almost everything and their private signing keys get leaked often.

So current Secure Boot implementation really only gives you protection in the very niche case of:
You have other security protections against tampering/access (e.g full disk encryption)
Your system is off
The attacker has physical access to the system
The attacker doesn’t have Microsoft or hardware vendor signed binaries
Most people rarely turn off their laptops anymore, usually just suspending/sleeping it instead, so requirement 2 usually isn’t met if requirement 3 is. Requirement 2 and 3 together means it’s not just a drive-by-hack in a coffee shop but a dedicated attacker that’s probably targeting you specifically, so they’re likely to have the tools that make requirement 4 invalid.

[Reactie gewijzigd door Jazco2nd op 26 juli 2024 16:35]

GertMenkel

Beveiliging en antivirus

@Jazco2nd • 26 juli 2024 17:46

So current Secure Boot implementation really only gives you protection in the very niche case of:

You have other security protections against tampering/access (e.g full disk encryption)
Your system is off
The attacker has physical access to the system
The attacker doesn’t have Microsoft or hardware vendor signed binaries

Oftewel, "je Windows 11-laptop staat uit/in hibernation". Voor de 15-30 minuten dat je laptop in sleep staat en niet naar hibarnation-modus overschakelt, ben je inderdaad niet goed beveiligd, maar dit is lang niet zo niche als hier beweerd wordt.

Zolang je je BIOS updatet is secure boot helemaal niet zo makkelijk te omzeilen, helemaal niet als je niet expres de Windows-instellingen in gaat en Bitlocker uitzet.

familyman @GertMenkel • 27 juli 2024 08:13

Euh, er wordt aangehaald dat een keten nodig is, zoals bv drive encryption.

En je reageert op een reactie waarin dat precies betoogt wordt.

Nee, het heeft geen zin om je voordeur met een skg 34+ slot uit te voeren als ernaast een raam open staat.

Er is een reden dat ios nauwelijks te breken is, en dat heeft ook met secure boot te maken. (Als onderdeel van het systeem dat van knop aan tot gebruik, de boel helemaal dicht zet).

Dit heeft niets met vendor lock-in te maken, overigens. AMI heeft hier geprobeerd afnemers naar hun eigen keys te laten gaan, en bood een key aan om te beginnen.

Anderen deden dit echter niet, waardoor je nu dus dit hebt. Als je alle componenten van het systeem in beheer hebt, dan weet je zeker dat het zo gaat werken - en zal de detecterende powershell script misschien wel in een ci/cd pipeline zitten om het af te dwingen.

deadinspace @Jazco2nd • 27 juli 2024 10:57

So current Secure Boot implementation really only gives you protection in the very niche case of:

Ik zou daar nog aan toe willen voegen dat je dan ook een wachtwoord op de BIOS/UEFI settings moet instellen.

Op elke laptop die ik tegen ben gekomen kun je namelijk standaard zonder wachtwoord de UEFI settings openen, secure boot uitzetten (of je eigen malicious keys provisionen), en dan kun je aan het OS aanpassen wat je wil. De gebruiker heeft daarna niet door dat dit gebeurd is, tenzij die handmatig de UEFI settings gaat controleren.

En zelfs al heb je een wachtwoord op de UEFI settings, dan loop je nog het risico dat die te resetten is, bv door de CMOS batterij los te koppelen, of omdat je een master password voor die laptop kunt vinden (zie bv dit filmpje voor Acer laptops).

Ik snap het idee achter secure boot, maar met de manier waarop het geïmplementeerd is lijkt het inderdaad nogal een wassen neus. Er zitten zoveel schakels in die allemaal perfect veilig moeten zijn, en hardware vendors zijn echt zo laks in hun UEFI implementaties dat het echt voelt als vechten tegen de bierkaai.

Insectiside @markg85 • 27 juli 2024 09:19

Dit is typische uitspraak wanneer je onvoldoende kennis hebt over de werking van iets, in dit geval Secure Boot:

Secure boot is toch een enorme "beveiliging grap".

Het is toch niet omdat er een probleem is gevonden, dat je daarmee de hele technologie meteen afschrijft?

[Reactie gewijzigd door Insectiside op 27 juli 2024 09:19]

markg85 @Insectiside • 27 juli 2024 10:04

En dat is een typische aanname gebaseerd op 1 bericht heb je een mening klaar.

Ik heb mij in het verleden (zeker ruim 10 jaar terug) alleen maar gebrand aan secure boot. Een voorbeeld, ik had het destijds aan (wat al een nachtmerrie was om voor elkaar te krijgen) en had vervolgens een andere update die me Linux boot gesloopt (gpu driver). Kon met geen mogelijkheid een terminal krijgen. Dus de fix, of zo dacht ik? Usb met Linux, host mounten en wat aanpassen dat ik op zijn minst weer kon booten. En probleem, usb iso werkte niet. Secure boot... Heb er heel wat uren tegenaan gegooid voor ik de handdoek maar in de ring heb gegooid. Secure boot uit, herinstallatie van me pc en nooit meer aan.

Ja, er zijn inmiddels makkelijke manieren en meer informatie over te vinden en nu had ik een dergelijk probleem wrs wel op kunnen lossen. Maja, dan bekruipt toch weer het gevoel van "wat heb ik aan deze feature? Weinig tot niets voordeel, mogelijk wel veel nadeel als het fout gaat. dan blijft die uit". En ja, zo vormt dan de mening dat Secure boot een gedrocht van een feature is zonder echt zinnig voordeel dat het uit laten ervan voor mij beter is. Moet ik er wel bij zeggen dat in de tijd dat ik het wel probeerde de hele ontwikkeling van die feature pas net was begonnen in de Linux wereld (veel iso's hadden het niet en documentatie was heel schaars).

Qalo @Insectiside • 27 juli 2024 17:58

Het is toch niet omdat er een probleem is gevonden, dat je daarmee de hele technologie meteen afschrijft?

Maar het kwam Microsoft bijzonder goed uit dat een technologie het van huis uit moeilijk(er) maakte om er iets anders op te installeren dan Windows. Ik geloof ook nog steeds dat UEFI in het leven is geroepen om andere OS'en (lees: Linux) weg te houden van de "gemiddelde consument", aangezien het in het leven werd geroepen in de periode dat Ubuntu steeds meer weg wist te vinden bij de "normale" gebruiker.

Ineens moesten de Linux dev's een work-around in hun distro's (naam even vergeten van dat stukje software) om Secure Boot te omzeilen als je een Linux distro wilde installeren.

Met andere woorden: het is 'm niet alleen om de veiligheid gegaan (is mijn mening!)

ibmpc @Qalo • 29 juli 2024 19:17

Ik weet het niet hoor, ik heb wellicht meer dan duizend Linux installaties gedaan in mijn vorige carriere en mijn voorkeur is altijd Hyper-V als host OS geweest. In 99% van de gevallen werd Secureboot gewoon ingeschakeld. Ik heb nog nooit moeite gehad om een *nix variant te installeren in Hyper-V met Secureboot ingeschakeld.

nullbyte @Insectiside • 27 juli 2024 10:41

Secure boot is toch een enorme "beveiliging grap".

Het was beter geweest om even Chat GPT te raadplegen of om zoiets als het laatste filmpje van Dave Plummer te kijken voor een dergelijke kreet te plaatsen. YouTube: Windows Secure Boot Compromised! What You Need to Know by a Retired... Dan was duidelijk geweest dat secure boot het bootproces het bootproces beveiligt tegen rootkits.

Alleen door logica alleen al, de aanname dat een dergelijk wijdverspreid IT mechanisme onzinnig zou zijn. Typisch een gevalletje Dunning&Kruger effect.

[Reactie gewijzigd door nullbyte op 27 juli 2024 10:44]

nullbyte @markg85 • 27 juli 2024 21:16

Secure boot is schijn beveiliging

Nee, kijk het filmpje nog eens

Marctraider @markg85 • 27 juli 2024 23:12

Wat bescherm je met bitlocker of drive encryption? Ook niet heel veel in de praktijk.

Iets wat wel interessant kan zijn is elke app in een apart gedeelte van het geheugen, en allemaal met een andere encryptie ofzo.

Secure boot, drive encryption en DMA attack mitigations zijn alleen interessant in onveilige omgevingen.

RobertMe @dutchruler • 26 juli 2024 14:55

Honderden modellen. Er vanuit gaande dat elk model vaker dan 1x verkocht is gaat het dus om meer dan honderden systemen.

dutchruler @RobertMe • 26 juli 2024 14:59

Nou dan mag de titel het de summery wel wat beter

Honderden laptops van verschillende merken gebruiken een onveilige Secure Boot-key. Daardoor is het op minstens 900 apparaten

Kheos @dutchruler • 26 juli 2024 17:55

Ik zie niks verkeerd aan de titel: het feit dat het hier over laptop modellen/types gaat is impliciet en duidelijk genoeg. Je zoekt in de pricewatch toch ook naar smartphones en daar verwacht je toch ook smartphone modellen/types (bv pixel 8 pro) en geen specifieke smartphones (de smartphone van je tante Truus)?

barco @RobertMe • 26 juli 2024 15:05

Maar als ik dan kijk naar welke modellen (Prodesk G1, H110) dan gaat het hier over apparaten van bijna 10 jaar oud... Dat maakt het verhaal allemaal weer wat minder spannend.

wildhagen

Beveiliging en antivirus

@dutchruler • 26 juli 2024 14:57

Ja, dat is nieuws. Als je getroffen wordt, dan ben je dus wel (potentieel) kwetsbaar voor eventuele exploits etc. Terwijl je denkt veilig te zijn.

Ook al is die kans klein, het feit blijft dat het verstandig is om dit bekend te maken. Anders lijkt het heel erg op 'security by obscurity' als je het verzwijgt. En dat principe werkt dus niet.

[Reactie gewijzigd door wildhagen op 26 juli 2024 15:01]

dutchruler @wildhagen • 26 juli 2024 15:00

Honderden laptops van verschillende merken gebruiken een onveilige Secure Boot-key. Daardoor is het op minstens 900 apparaten

Als het honderdduizenden zijn dan mag het artikel wel wat beter geschreven worden

sovereignthrone @dutchruler • 26 juli 2024 15:04

of je leest gewoon verder dan de titel voor je naar de comments rent

as400 @sovereignthrone • 26 juli 2024 15:57

Of je gaat naar de link en ziet : 877 lines (859 loc) · 17.7 KB 859 lines of code dus <900
Dit soort artikelen zit onder geweldige tijdsdruk en dus is het de auteur vergeven dat de titel moet uitgebreid worden met 'modellen van', zoals wij hopen vergeven te worden voor onze schrijfzonden wanneer we te snel te posten $_/-\o_$

Verwijderd @dutchruler • 26 juli 2024 15:00

honderden? nou wereld nieuws hoor.

Als er een kwetsbaarheid ondekt wordt in één specifiek model iPhone. Ga je dan ook zeggen, ach het is maar 1 model, wat een wereld nieuws? Of begrijp je dan wel dat er van dit ene model misschien we een aantal miljoen verkocht zijn? En het dus om miljoenen kwetsbare toestellen gaat, niet om slechts "één model"? Zo kan je vrijwel elk nieuwsbericht wel tot komkommertijd wegredeneren.

dutchruler @Verwijderd • 26 juli 2024 15:07

En het dus om miljoenen kwetsbare toestellen gaat

nee. Het enige dat ik weet is dat het om minstens 900 apparaten gaat

Verwijderd @dutchruler • 26 juli 2024 18:38

[...]

nee. Het enige dat ik weet is dat het om minstens 900 apparaten gaat

'Apparaten' is een beetje verwarrende woordkeuze in deze context. Het gaat niet om 900 apparaten, maar 900 modellen van diverse laptopleveranciers die hiervoor kwetsbaar zijn. Het totaal aantal apparaten ligt dan ook VEEL en VEEL hoger natuurlijk, want er is niet slechts 1 apparaat per model verkocht... Klik anders even op de bron/link in het artikel, dan valt het kwartje wellicht, daar staan alle kwetsbare modellen opgesomd.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 18:47]

dutchruler @Verwijderd • 26 juli 2024 19:56

Duidelijk, bedankt voor de toelichting

blorf @Verwijderd • 26 juli 2024 15:20

Gaat dit niet sowieso over fysieke toegang? Wat is het verschil met SB omzeilen met een onrechtmatige key of de legacy support aanzetten en je kernel van USB-stick halen?

IStealYourGun 26 juli 2024 14:51

Dat is in de praktijk echter behoorlijk veel werk; een aanvaller moet daarvoor nog steeds de Key Exchange Key-, de Signature- en de Forbidden Signature-databases op een systeem weten te manipuleren. Wel hebben de onderzoekers ook een proof-of-concept uitgebracht

M.a.w. Veel geroep om niets om aandacht te krijgen.

K0L3N @IStealYourGun • 26 juli 2024 15:00

Beetje kort door de bocht, als in ieder deel zo'n stukje luiheid zit is dus je hele systeem open. Dit is gewoon flink nalatig van die fabrikanten en dat mag benoemd worden.

jobvr @IStealYourGun • 26 juli 2024 15:03

Nee, dit betekend dat het waarschijnlijk niet gebruikt gaat worden om massaal rootkits te installeren (zolang het proces niet volledig geautomatiseerd kan worden). Maar dat dit zeker een manier is om een notebook te injecteren met rootkit en malware als iemand een specifiek doel is, waar iemand veel voor over heeft om informatie over in te winnen of iets anders met jou PC te doen. Denk alleen al aan journalisten in landen met een intolerant regiem. Dan denk je dat je je PC goed beveiligd hebt en dat blijkt dan niet zo te zijn omdat een een notebook fabrikant nalatig is geweest.

[Reactie gewijzigd door jobvr op 26 juli 2024 15:12]

kodak

Beveiliging en antivirus

@IStealYourGun • 26 juli 2024 15:14

Ik mis bij je conclussie een uitleg hoe je daar op komt en waarom je de andere mogelijkheden kennelijk uit sluit. Het is nogal simpel om te stellen dat als iets veel moeite kost het dus maar om niets gaat en suggestief te gaan doen waarom ze het nieuws zoeken.

useruser @IStealYourGun • 26 juli 2024 15:16

Ligt geheel aan je doelgroep dus. Nee waarschijnlijk niet interessant genoeg voor de laptop van je buurvrouw maar er zijn zeker genoeg personen/apparaten te bedenken waar dit heel interessant is.

nullbyte @IStealYourGun • 27 juli 2024 10:50

Staat gesponserde actoren, kritieke systemen, high value targets. Reken maar dat er organisaties/personen zijn voor wie deze "moeite" een druppel op een gloeiende plaat is. Jouw conclusie kan er niet verder naast zitten.

MadDonkey 26 juli 2024 14:52

Dit geldt overigens niet alleen voor laptops, maar ook voor servers van genoemde fabrikanten en die van Supermicro.

Supermicro levert whitelabel aan vele anderen zoals Nutanix en Rubrik. Deze kwetsbaarheid is dus best wel gevoelig. Wanneer hiermee potentieel een backup platform getroffen kan worden.

HollowGamer 26 juli 2024 15:13

Al vaker gezegd: UEFI is slecht ontworpen en heel onveilig. Er zijn genoeg exploits en lekken, ook die nog niet bekend zijn.

Leuk dat we encryptie en TPM hebben, maar niet als dat allemaal omzeilt kan worden met een UEFI-exploit.

gimbal 26 juli 2024 15:17

"De git-repo was zelf versleuteld, maar het wachtwoord bestond uit slechts vier tekens en was daarom relatief eenvoudig te achterhalen"

Er breekt iets bij me als ik zoiets lees. Dat is net als bij het invoeren van je pincode je hand gebruiken om zicht af te schermen en dan de nummers hardop uitspreken terwijl je ze intoetst. Je bent getrained om iets te doen "want veilig" maar je snapt niet waarom het veilig is waardoor je de boel toch op een andere manier verziekt.

Terrestrial 26 juli 2024 15:21

Het hele secure boot concept is mislukt, het schijnt dat MS in october 1 of andere grote patch wil doorvoeren waardoor heel veel computers mogelijk niet meer gaan booten omdat ze gelekte sleutels gebruiken en diie willen blacklisten, en wat blijft de UEFI heeft niet genoeg opslag voor die blacklist. Het hele concept is niet goed over nagedacht blijkbaar.

A4553 26 juli 2024 15:31

Belangrijke aanvulling is denk ik ook dat Binarly ontdekte dat deze test keys voor meer dan een decennium in gebruik waren bij verschillende leveranciers.

‘The test keys discovered by Binarly, by contrast, were shared for more than a decade among more than a dozen independent device makers.’ (Bron).

Over slechte security practices gesproken…

Mushroomician 26 juli 2024 16:19

Kun je je voorstellen hoe de persberichten en politiek vandaag zou reageren als het niet was “American Megatrends International” maar “China Megatrends International”, of gewoon Huawei.

[Reactie gewijzigd door Mushroomician op 26 juli 2024 16:20]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (69)

Sorteer op:

Weergave: