Penyerang bisa melewati proses Boot Aman pada jutaan sistem komputasi berbasis mikroprosesor Intel dan ARM dari berbagai vendor, karena semuanya berbagi kunci kriptografi yang sebelumnya bocor yang digunakan dalam proses permulaan perangkat.
Yang disebut Kunci Platform (PK) dari American Megatrends International (AMI) berfungsi sebagai akar kepercayaan selama rantai permulaan PC Boot Aman, dan memverifikasi keaslian dan integritas firmware serta perangkat lunak boot suatu perangkat.
Sayangnya, para peneliti dari vendor keamanan firmware Binarly menemukan bahwa kunci tersebut telah terungkap ke publik dalam kebocoran data pada tahun 2018. “Kunci ini kemungkinan disertakan dalam implementasi referensi (AMI) dengan harapan akan diganti dengan kunci lain yang dibuat dengan aman oleh entitas hilir dalam rantai pasokan,” Binarly mengatakan dalam sebuah postingan tentang masalah ini minggu ini.
Masalah Boot Aman PKFail
Yang tampaknya terjadi adalah bahwa produsen peralatan asli (OEM) menggunakan kunci uji AMI untuk firmware yang diproduksinya untuk berbagai produsen perangkat berbasis Intel dan ARM. Hasilnya adalah ada kemungkinan jutaan perangkat konsumen dan perusahaan di seluruh dunia yang saat ini menggunakan AMI PK yang disusupi yang sama selama proses bootup aman, kata Alex Matrosov, CEO dan pendiri Binarly. Vendor yang terpengaruh termasuk Lenovo, HP, Asus, dan SuperMicro.
“Seorang penyerang dengan akses ke bagian pribadi PK dapat dengan mudah melewati Secure Boot dengan memanipulasi database Key Exchange Key, Signature Database, dan Forbidden Signature Database,” kata Matrosov, yang menjuluki masalah ini sebagai “PKFail.” Masalah ini memudahkan penyerang untuk, antara lain, menyebarkan bootkit Unified Extensible Firmware Interface (UEFI) seperti yang dilakukan tahun lalu. Teratai Hitamyang menawarkan akses dan hak istimewa kernel persisten.
“Perbaikannya mudah: kunci yang disusupi perlu diganti, dan vendor perangkat perlu mengirimkan pembaruan firmware,” kata Matrosov. Beberapa vendor telah melakukannya, katanya. Namun, dalam banyak kasus — seperti pada server pusat data, misalnya, atau untuk sistem yang digunakan dalam aplikasi penting — pembaruan firmware mungkin memerlukan waktu untuk diterapkan.
“Pemanfaatan masalah ini mudah dilakukan jika perangkat terkena dampak,” katanya, sambil menunjuk pada eksploitasi proof-of-concept (PoC) yang dikembangkan Binarly untuk PKFail. Matrosov menyarankan agar organisasi memutuskan sambungan perangkat dengan AMI PK yang bocor dari jaringan penting hingga mereka dapat menerapkan pemutakhiran firmware.
Kunci Utama dan Kesepakatan yang Sangat Besar
Masalah PKfail merupakan masalah besar karena memudahkan peretas untuk melewati Secure Boot, yang seperti memiliki kunci utama yang dapat membuka banyak rumah, kata Rogier Fischer, CEO Hadrian yang berkantor pusat di Belanda dalam komentar melalui email. “Karena kunci yang sama digunakan di berbagai perangkat, satu pelanggaran dapat memengaruhi banyak sistem, sehingga masalah ini meluas,” katanya.
PKFail adalah satu-satunya manifestasi terbaru dari masalah yang telah ada selama lebih dari satu dekade, yaitu kecenderungan OEM dan pembuat perangkat untuk menggunakan kunci kriptografi nonproduksi dan uji coba pada firmware dan perangkat produksi, kata Matrosov. Misalnya, AMI PK jelas dimaksudkan untuk diperlakukan sebagai perangkat yang sama sekali tidak tepercaya, tetapi akhirnya muncul di perangkat dari berbagai vendor.
Laporan Binarly menunjukkan sebuah insiden pada tahun 2016 yang dilacak sebagai CVE-2016-5247, di mana peneliti keamanan menemukan beberapa perangkat Lenovo yang memiliki PK pengujian AMI yang sama. Saat itu, National Vulnerability Database menggambarkan masalah tersebut sebagai sesuatu yang memungkinkan “pengguna lokal atau penyerang yang berada di sekitar untuk melewati mekanisme perlindungan Secure Boot dengan memanfaatkan kunci pengujian AMI.”
Pada akhirnya, PKFail merupakan manifestasi dari praktik manajemen kunci kriptografi yang buruk dalam rantai pasokan perangkat, kata Binarly dalam laporannya.
“Ini masalah besar,” kata Matrosov. “Jika Anda membayangkan kompleks apartemen yang semua kunci pintunya memiliki kunci yang sama. Jika satu kunci hilang, itu bisa menimbulkan masalah bagi semua orang.”
