24/03/25
В конце февраля 2025 года Binarly получила сообщение о подозрительном инциденте в экосистеме UEFI. Запись в публичном репозитории SupplyChainAttacks указывала на утечку приватных ключей Boot Guard в прошивках устройств Clevo. Источник — форум Win-Raid, где пользователь обнаружил приватные ключи в открытом доступе в составе пакета обновления BIOS, пишет Securitylab.
Подозрения подтвердились: исследование показало, что в бинарном файле BootGuardKey.exe действительно содержатся два приватных ключа, также продублированные в отдельных PEM-файлах. Извлечённые модули ключей совпадают с модулями, используемыми в Boot Guard Key Manifest и Boot Policy Manifest в прошивках Clevo. Это означает, что злоумышленник может подписать вредоносную прошивку, которая будет успешно проходить проверку подлинности на уровне платформы, обходя механизм защиты Boot Guard.
Binarly выявила 15 прошивок с раскрытыми ключами, охватывающих 10 уникальных устройств. Все используют BIOS от Insyde и произведены на ODM-платформе Clevo. Среди них — модели Gigabyte G5, G6 и G7, включая выпущенный в 2025 году G6X 9KG.
Примечательно, что среди затронутых устройств есть как устаревшие модели, так и актуальные версии прошивок. То есть скомпрометированные ключи продолжают использоваться в действующих продуктах, что делает потенциальную угрозу особенно опасной. Также в списке фигурируют два системных BIOS с названиями NoteBook System Firmware, не относящиеся напрямую к брендовым устройствам, что намекает на возможную вовлечённость других OEM-производителей.
Важно подчеркнуть, что проблема касается только устройств, базирующихся на платформах Clevo. В обширной базе данных Binarly, включающей более 200 000 пакетов прошивок от различных производителей, подобных утечек среди других вендоров обнаружено не было. Это говорит о том, что инцидент в первую очередь связан с ошибками управления ключами у конкретного ODM.
Binarly направила уведомление об уязвимости под кодом BRLY-2025-002 в координационный центр CERT/CC 28 февраля. Однако спустя несколько дней дело было закрыто без подробных разъяснений. О всех деталях инцидента и повторяющихся ошибках в управлении ключами команда Binarly планирует рассказать на предстоящей конференции RSA.
