Onderzoekers van securitybedrijf Embedi, die eerder dit jaar een ernstig beveiligingslek in de Management Engine (ME) van zakelijke Intel-processors openbaarden, hebben nu laten zien hoe ze de Intel Boot Guard-implementatie van allerlei computerfabrikanten kunnen omzeilen.
De Boot Guard is een beveiligingsmaatregel die het aanpassen van de unified extensible firmware interface (uefi), bijvoorbeeld door rootkits, moet voorkomen. Uefi is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Aanpassingen aan de uefi hebben dan ook grote gevolgen voor de veiligheid van het systeem. Om de uefi te beschermen zorgt Boot Guard voor een vertrouwde 'opstartketen'. Het eerste onderdeel in de keten, de zogeheten Root of Trust, is microcode binnen de Intel-processor. De processor laadt de Authenticated Code Module (ACM), waarna de uefi wordt geladen. Elke stap in dit proces wordt cryptografisch geverifieerd.
De Boot Guard-technologie is zo ontworpen dat die na de configuratie permanent is. Dit gebeurt door het flashen van de publieke sleutel van de uefi-handtekening in de field programmable fuses (FPF). Dit is geheugen dat tijdens het productieproces eenmalig door de fabrikant kan worden geprogrammeerd. De onderzoekers ontdekten dat sommige fabrikanten systemen produceren waar de Intel Boot Guard niet goed is ingesteld. De fuses bevinden zich in een niet gedefinieerde staat. Daardoor kan een aanvaller code in de uefi injecteren. Door vervolgens de Intel Boot Guard handmatig in te schakelen kan een aanvaller de kwaadaardige aanpassing van de uefi permanent maken.
Het probleem speelt bij moederborden die firmware draaien die op de AMI Aptio uefi zijn gebaseerd. Volgens Embedi is dit populaire firmware waar veel fabrikanten, zoals Asus, Acer, Dell en HP, gebruik van maken. "Het deel van de code waar we het over hebben kan dan ook in elk systeem worden gevonden dat sinds 2013 is geproduceerd met een uefi die op die code is gebaseerd", aldus de onderzoekers. Of er van de kwetsbaarheid misbruik kan worden gemaakt is afhankelijk of het systeem over aanvullende uefi-beveiliging beschikt. De onderzoekers merken echter op dat er veel systemen zijn die niet over een dergelijke beveiliging beschikken. Embedi waarschuwde Dell dat met firmware-updates kwam. Ook werd firmware-producent AMI ingelicht, maar volgens de onderzoekers werkt de patch die het bedrijf ontwikkelde niet naar behoren, aangezien het de check op Bootguard uitschakelt.
Deze posting is gelocked. Reageren is niet meer mogelijk.