Злоумышленники могут обойти Secure Boot и установить UEFI-вредонос

Злоумышленники могут обойти Secure Boot и установить UEFI-вредонос

Злоумышленники могут обойти Secure Boot и установить UEFI-вредонос

Сотни UEFI-устройств от 10 производителей уязвимы из-за критической проблемы, позволяющей злоумышленникам обойти безопасную загрузку (Secure Boot) и установить вредоносную программу. Исследователи называют этот вектор PKfail.

Как отметила команда Binarly Research, затронутые устройства используют мастер-ключ Secure Boot, известный как Platform Key (PK), сгенерированный American Megatrends International (AMI).

Специалисты считают, что производителям этих устройств нужно заменить эти ключи на собственные, более безопасные. В отчете исследователи пишут:

«К сожалению, часто вендоры не меняют Platform Key, отвечающий за управление базами данных и поддержку цепочки, связывающей прошивку с операционной системой. В результате устройства выходят на рынок с ненадежными ключами».

Среди таких производителей: Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro. Проблема затрагивает в целом 813 продуктов.

Уязвимая прошивка от Intel, источник — BleepingComputer

 

В Binarly подчеркивают, что эксплуатация этого бага позволит киберпреступникам обойти Secure Boot за счет манипуляции базами данных Key Exchange Key (KEK), Signature (db) и Forbidden Signature Database (dbx).

После компрометации цепочки от прошивки к ОС злоумышленники могут подписать вредоносный код и установить зловред вроде CosmicStrand и BlackLotus.

 

Binarly запустила посвященный проблеме веб-сайт pk.fail, который поможет пользователям просканировать бинарники прошивки на наличие вредоносной составляющей.

 

Solar inRights начнёт блокировать учётки, чьи пароли утекли в даркнет

ГК «Солар» выпустила Solar inRights 3.11 — новую версию системы управления доступом, которая умеет автоматически реагировать на утечки корпоративных логинов и паролей. Система интегрирована с сервисом мониторинга внешних угроз Solar AURA.

Он ищет учётные данные сотрудников в открытых источниках и даркнете, после чего Solar inRights проверяет, действуют ли они во внутренних системах компании.

Если найденная связка совпадает с актуальной корпоративной учётной записью, доступ блокируется, а служба ИБ получает уведомление.

Сценарий вполне жизненный: сотрудник использовал рабочую почту и знакомый пароль на стороннем сайте, база утекла, а злоумышленник решил проверить, не подойдёт ли эта комбинация к корпоративной системе. Если пароль повторяется, вход может выглядеть совершенно легитимно.

По данным исследования «Солара», у одной крупной российской компании в открытых и теневых источниках в среднем обнаруживается более 600 уникальных корпоративных учётных записей. При этом только около 4% записей напрямую указывают на компрометацию инфраструктуры. Остальные тоже нельзя считать безобидными: старый добрый повтор пароля способен быстро превратить внешнюю утечку во внутренний инцидент.

Yandex Cloud ранее сообщал, что в первом полугодии 2025 года использование действительных учётных записей встречалось в 54% из более чем 25 тыс. попыток атак на облачные и гибридные инфраструктуры.

Раньше между обнаружением пароля в даркнете и блокировкой учётки могло пройти немало времени — особенно если данные сверяли вручную. Теперь этот промежуток пытаются сократить до минимума.

В версии 3.11 также обновили поиск, фильтры заявок и шаблоны интеграции с Active Directory, Exchange и 1С. Но главное здесь всё же другое: пароль ещё не успели использовать, а дверь перед ним уже захлопнулась.

RSS: Новости на портале Anti-Malware.ru