- 19,455
- 40
- 8 Ноя 2022
Ошибки в управлении ключами ставят под удар UEFI-экосистему.
В конце февраля 2025 года Binarly получила сообщение о подозрительном инциденте в экосистеме UEFI. Запись в публичном репозитории SupplyChainAttacks указывала на утечку приватных ключей Boot Guard в прошивках устройств Clevo. Источник — форум Win-Raid, где пользователь обнаружил приватные ключи в открытом доступе в составе пакета обновления BIOS.
Подозрения подтвердились: исследование показало, что в бинарном файле BootGuardKey.exe действительно содержатся два приватных ключа, также продублированные в отдельных PEM-файлах. Извлечённые модули ключей совпадают с модулями, используемыми в Boot Guard Key Manifest и Boot Policy Manifest в прошивках Clevo. Это означает, что злоумышленник может подписать вредоносную прошивку, которая будет успешно проходить проверку подлинности на уровне платформы, обходя механизм защиты Boot Guard.
Binarly Для просмотра ссылки Войдиили Зарегистрируйся 15 прошивок с раскрытыми ключами, охватывающих 10 уникальных устройств. Все используют BIOS от Insyde и произведены на ODM-платформе Clevo. Среди них — модели Gigabyte G5, G6 и G7, включая выпущенный в 2025 году G6X 9KG.
<table border="1" cellpadding="6" cellspacing="0"> <thead> <tr> <th> Device Name </th> <th> ODM </th> <th> IBV </th> <th> Firmware Version </th> <th> Release Date </th> <th> Latest Version </th> </tr> </thead> <tbody> <tr> <td> XPG Xenia 15G G2303_V1.0.8 </td> <td> Clevo </td> <td> Insyde </td> <td> 6.2.8320.0 </td> <td> 2023-06-14 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 KE </td> <td> Clevo </td> <td> Insyde </td> <td> FB05 </td> <td> 2023-03-07 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 KF 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD06 </td> <td> 2024-01-10 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 KF5 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD07 </td> <td> 2024-10-17 </td> <td> False </td> </tr> <tr> <td> Gigabyte G5 KF5 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD10 </td> <td> 2024-12-09 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 ME </td> <td> Clevo </td> <td> Insyde </td> <td> FB04 </td> <td> 2023-06-05 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 ME </td> <td> Clevo </td> <td> Insyde </td> <td> FB04 </td> <td> 2023-06-05 </td> <td> False </td> </tr> <tr> <td> Gigabyte G5 MF </td> <td> Clevo </td> <td> Insyde </td> <td> FB03 </td> <td> 2023-04-14 </td> <td> True </td> </tr> <tr> <td> Gigabyte G6 KF </td> <td> Clevo </td> <td> Insyde </td> <td> FB06 </td> <td> 2023-10-23 </td> <td> True </td> </tr> <tr> <td> Gigabyte G6X 9KG 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD07 </td> <td> 2024-01-19 </td> <td> False </td> </tr> <tr> <td> Gigabyte G6X 9KG 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FB10 </td> <td> 2025-02-04 </td> <td> True </td> </tr> <tr> <td> Gigabyte G7 KF </td> <td> Clevo </td> <td> Insyde </td> <td> FB10 </td> <td> 2024-02-16 </td> <td> True </td> </tr> <tr> <td> Gigabyte G7 KF </td> <td> Clevo </td> <td> Insyde </td> <td> FB09 </td> <td> 2023-10-18 </td> <td> False </td> </tr> <tr> <td> NoteBook System Firmware 1.07.07TRO1 </td> <td> Clevo </td> <td> Insyde </td> <td> 6.2.8319.7 </td> <td> 2023-09-05 </td> <td> True </td> </tr> <tr> <td> NoteBook System Firmware 1.07.09TRO1 </td> <td> Clevo </td> <td> Insyde </td> <td> 6.2.8319.9 </td> <td> 2023-11-28 </td> <td> True </td> </tr> </tbody> </table> Примечательно, что среди затронутых устройств есть как устаревшие модели, так и актуальные версии прошивок. То есть скомпрометированные ключи продолжают использоваться в действующих продуктах, что делает потенциальную угрозу особенно опасной. Также в списке фигурируют два системных BIOS с названиями NoteBook System Firmware, не относящиеся напрямую к брендовым устройствам, что намекает на возможную вовлечённость других OEM-производителей.
Важно подчеркнуть, что проблема касается только устройств, базирующихся на платформах Clevo. В обширной базе данных Binarly, включающей более 200 000 пакетов прошивок от различных производителей, подобных утечек среди других вендоров обнаружено не было. Это говорит о том, что инцидент в первую очередь связан с ошибками управления ключами у конкретного ODM.
Binarly направила уведомление об уязвимости под кодом BRLY-2025-002 в координационный центр CERT/CC 28 февраля. Однако спустя несколько дней кейс был закрыт без подробных разъяснений. О всех деталях инцидента и повторяющихся ошибках в управлении ключами команда Binarly планирует рассказать на предстоящей конференции RSA.
В конце февраля 2025 года Binarly получила сообщение о подозрительном инциденте в экосистеме UEFI. Запись в публичном репозитории SupplyChainAttacks указывала на утечку приватных ключей Boot Guard в прошивках устройств Clevo. Источник — форум Win-Raid, где пользователь обнаружил приватные ключи в открытом доступе в составе пакета обновления BIOS.
Подозрения подтвердились: исследование показало, что в бинарном файле BootGuardKey.exe действительно содержатся два приватных ключа, также продублированные в отдельных PEM-файлах. Извлечённые модули ключей совпадают с модулями, используемыми в Boot Guard Key Manifest и Boot Policy Manifest в прошивках Clevo. Это означает, что злоумышленник может подписать вредоносную прошивку, которая будет успешно проходить проверку подлинности на уровне платформы, обходя механизм защиты Boot Guard.
Binarly Для просмотра ссылки Войди
<table border="1" cellpadding="6" cellspacing="0"> <thead> <tr> <th> Device Name </th> <th> ODM </th> <th> IBV </th> <th> Firmware Version </th> <th> Release Date </th> <th> Latest Version </th> </tr> </thead> <tbody> <tr> <td> XPG Xenia 15G G2303_V1.0.8 </td> <td> Clevo </td> <td> Insyde </td> <td> 6.2.8320.0 </td> <td> 2023-06-14 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 KE </td> <td> Clevo </td> <td> Insyde </td> <td> FB05 </td> <td> 2023-03-07 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 KF 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD06 </td> <td> 2024-01-10 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 KF5 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD07 </td> <td> 2024-10-17 </td> <td> False </td> </tr> <tr> <td> Gigabyte G5 KF5 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD10 </td> <td> 2024-12-09 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 ME </td> <td> Clevo </td> <td> Insyde </td> <td> FB04 </td> <td> 2023-06-05 </td> <td> True </td> </tr> <tr> <td> Gigabyte G5 ME </td> <td> Clevo </td> <td> Insyde </td> <td> FB04 </td> <td> 2023-06-05 </td> <td> False </td> </tr> <tr> <td> Gigabyte G5 MF </td> <td> Clevo </td> <td> Insyde </td> <td> FB03 </td> <td> 2023-04-14 </td> <td> True </td> </tr> <tr> <td> Gigabyte G6 KF </td> <td> Clevo </td> <td> Insyde </td> <td> FB06 </td> <td> 2023-10-23 </td> <td> True </td> </tr> <tr> <td> Gigabyte G6X 9KG 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FD07 </td> <td> 2024-01-19 </td> <td> False </td> </tr> <tr> <td> Gigabyte G6X 9KG 2024 </td> <td> Clevo </td> <td> Insyde </td> <td> FB10 </td> <td> 2025-02-04 </td> <td> True </td> </tr> <tr> <td> Gigabyte G7 KF </td> <td> Clevo </td> <td> Insyde </td> <td> FB10 </td> <td> 2024-02-16 </td> <td> True </td> </tr> <tr> <td> Gigabyte G7 KF </td> <td> Clevo </td> <td> Insyde </td> <td> FB09 </td> <td> 2023-10-18 </td> <td> False </td> </tr> <tr> <td> NoteBook System Firmware 1.07.07TRO1 </td> <td> Clevo </td> <td> Insyde </td> <td> 6.2.8319.7 </td> <td> 2023-09-05 </td> <td> True </td> </tr> <tr> <td> NoteBook System Firmware 1.07.09TRO1 </td> <td> Clevo </td> <td> Insyde </td> <td> 6.2.8319.9 </td> <td> 2023-11-28 </td> <td> True </td> </tr> </tbody> </table> Примечательно, что среди затронутых устройств есть как устаревшие модели, так и актуальные версии прошивок. То есть скомпрометированные ключи продолжают использоваться в действующих продуктах, что делает потенциальную угрозу особенно опасной. Также в списке фигурируют два системных BIOS с названиями NoteBook System Firmware, не относящиеся напрямую к брендовым устройствам, что намекает на возможную вовлечённость других OEM-производителей.
Важно подчеркнуть, что проблема касается только устройств, базирующихся на платформах Clevo. В обширной базе данных Binarly, включающей более 200 000 пакетов прошивок от различных производителей, подобных утечек среди других вендоров обнаружено не было. Это говорит о том, что инцидент в первую очередь связан с ошибками управления ключами у конкретного ODM.
Binarly направила уведомление об уязвимости под кодом BRLY-2025-002 в координационный центр CERT/CC 28 февраля. Однако спустя несколько дней кейс был закрыт без подробных разъяснений. О всех деталях инцидента и повторяющихся ошибках в управлении ключами команда Binarly планирует рассказать на предстоящей конференции RSA.
- Источник новости
- www.securitylab.ru
