一個被稱為”PKfail”的新漏洞讓Secure Boot功能在數百台PC 和數個主要科技品牌的裝置上失效。網路安全公司Binarly 的研究人員剛剛發布了一份重磅報告，顯示了一個洩漏的加密金鑰是如何讓200 多種產品型號的Secure Boot功能失去安全保障的。

“Secure Boot”是由PC 產業成員創建的安全標準，旨在確保設備只能使用經相關原始設備製造商驗證和信任的軟體啟動。這個新的安全漏洞源自於為多家美國製造商工作的某人在2022 年底意外洩漏了Secure Boot的”平台金鑰”。

此金鑰是宏碁、戴爾、技嘉、英特爾和超微等廠商設備上整個Secure Boot流程的關鍵信任根。根據Ars Technica 的報告，一名員工將包含加密平台密鑰的源代碼發佈到了GitHub 公共倉庫，他們用一個弱得可笑的4 個字符的密碼來保護它，而這個密碼很容易就被破解了。

雖然這次洩漏最初沒有引起注意，但比納利的研究人員在2023 年1 月偶然發現了它。他們的研究結果表明，這個外洩的平台金鑰被多個大牌科技品牌的數百個不同產品線重複使用，令人不安。這也是一個跨矽問題，因為它同時影響x86 和Arm 設備。

從本質上講，這意味著惡意行為者可以透過簽署惡意程式碼繞過Secure Boot，並載入像臭名昭著的BlackLotus 這樣令人討厭的韌體植入。鑑於微軟已將Secure Boot作為Windows 11 的一項要求，並且多年來一直在推動該技術以確保系統免受BIOS rootkit 的攻擊，上述發現尤其令人擔憂。

這種影響也已經持續了十年。 Binarly 對2012 年的UEFI 韌體鏡像進行了分析，發現有超過10% 的韌體鏡像因使用了這些不受信任的密鑰而受到影響，而不是按原定計劃使用製造商生成的安全密鑰。即使只看過去4 年，仍有8% 的韌體存在這個問題。

這是一個明顯的供應鏈失誤，暴露了一些供應商在處理關鍵平台安全問題時是多麼的馬虎。這些問題包括在消費性和企業設備系列中重複使用相同的金鑰、使用非生產性加密材料運輸產品，以及未能定期輪換金鑰。 Binarly 強調了這些與設備供應鏈安全相關的安全問題，這些問題導致了此漏洞的發生。

對於設備所有者和IT 管理員來說，Binarly 建議先檢查自己的設備是否被列入漏洞公告，並迅速套用供應商提供的任何相關韌體修補程式。

此外，該公司還指出，設備供應商應確保按照加密金鑰管理的最佳實踐（如使用硬體安全模組）產生和管理平台金鑰。他們還應使用安全生成的密鑰替換提供的任何測試密鑰。