Sleutelcodes en broncode UEFI van AMI gelekt

8 reacties

Een verkopende partij van moederborden -naar verluidt Jetway volgens geruchten- heeft op een publieke FTP server de broncode en codes van de UEFI-firmware gezet die door zowel Intel LGA 1155 socketmoederborden als AMD FM2 en AM3+ moederborden gebruikt kan worden. De FTP server is vervolgens gekraakt waardoor de broncode nu publiekelijk beschikbaar is. Nog belangrijker is echter dat ook de standaard UEFI test codesleutel is gelekt, deze sleutel werd gebruikt om updates voor UEFI te authenticeren. 

Met de sleutel in verkeerde handen zouden kwaadwillenden geïnfecteerde UEFI updates kunnen verspreiden die dankzij de unieke sleutel als echt kunnen worden herkend, mits de standaard sleutel wordt gebruikt door de bewuste fabrikant. Afhankelijk van hoe diverse fabrikanten de sleutel van AMI hebben gebruikt zou het lek ook nog schade kunnen berokkenen voor andere producten die afhankelijk zijn van dezelfde code. Met een geïnfecteerde update van UEFI zou een nagenoeg ondetecteerbare mogelijkheid worden geboden voor kwaadwillenden om elke vorm van systeembeveiliging te omzeilen buiten het besturingssysteem om. 

Voor AMI betekent de lek dat de broncode van UEFI voor concurrenten inzichtelijk is. Vooralsnog is onbekend welke firmware vatbaar is voor de gevoeligheid, maar de code zou uit februari 2012 komen waardoor de code ook in nog vrij recent uitgebrachte producten gebruikt kunnen worden. Naast het beveiligingsprobleem zou het uitlekken van de broncode ook kwaadwillenden kunnen helpen om eenvoudiger kwetsbaarheden te vinden in UEFI. 

Volgens het standaard protocol geleverd door AMI heeft iedere fabrikant de plicht om zelf de standaard sleutel te vervangen door een eigen sleutel, waardoor de hack theoretisch niet zoveel schade zou mogen doen. Of deze en andere fabrikanten van moederborden zich echter altijd netjes aan dit protocol hebben gehouden zou er dus weinig schade zijn door het uitlekken van de code. Helaas is onbekend of elke fabrikant dit heeft gedaan en of er ook is toegezien op het naleven van het protocol. Indien een fabrikant laks is geweest met deze regels, zouden moederborden uitgerust met de standaard AMI sleutels kwetsbaar zijn.  

Het is onbekend of AMI ook richtlijnen heeft om de broncode van UEFI en de bijbehorende standaard sleutels uitzonderlijk goed te beveiligingen, in elk geval dus niet op een publiekelijk benaderbare FTP servers. De komende tijd zal duidelijk moeten worden wat de impact zal zijn voor diverse moederborden uitgerust met UEFI van AMI, maar accurate bedreigingen zijn er vooralsnog nog niet aangezien eerst de standaard sleutel moet worden gebruikt en vervolgens nog eens een geïnfecteerde update moet worden gedownload. 

Bronnen: Adamcaudill, American Megatrends (AMI)

« Vorig bericht Volgend bericht »
0
*