จากรายงานล่าสุดพบว่าอุปกรณ์ Clevo หลายรุ่น มีช่องโหว่ที่อาจทำให้เกิดการรั่วไหลของ Private Key ของ Boot Guard ซึ่งเป็นเทคโนโลยีความปลอดภัยของ Intel ที่ใช้ตรวจสอบในระหว่างการบูตระบบ ที่จะมีเพียงเฟิร์มแวร์ที่ได้รับอนุญาตเท่านั้นที่สามารถทำงานได้ เพื่อป้องกันโค้ดที่ไม่ได้รับอนุญาต
ช่องโหว่นี้ถูกเปิดเผยครั้งแรกบนฟอรัม Win-Raid โดยพบว่ามี Private Key ของ Boot Guard Key Manifest (KM) และ Boot Policy Manifest (BPM) ฝังอยู่ในไฟล์ Firmware Update
ซึ่งหาก Private Key นี้รั่วไหล ผู้โจมตีสามารถใช้ Key เหล่านั้นในการ sign เฟิร์มแวร์ที่เป็นอันตราย ซึ่งสามารถผ่านการตรวจสอบความปลอดภัยของ Boot Guard ได้
รายละเอียดการตรวจสอบ
ทีมวิจัยจาก Binarly ซึ่งมีชื่อเสียงในการค้นหาช่องโหว่ในระบบ UEFI ได้รับการแจ้งเตือนเกี่ยวกับช่องโหว่นี้จากโพสต์ในฟอรัม Win-Raid ซึ่งเปิดเผยการพบ Boot Guard key ในการอัปเดตเฟิร์มแวร์ของอุปกรณ์ Clevo ที่มีการฝัง Private Key ไว้
หลังจากการตรวจสอบ ทีมวิจัยยืนยันว่ามี Private Key สองชุดที่ถูกฝังอยู่ในไฟล์ BootGuardKey.exe จริง
Key เหล่านี้ตรงกับโมดูลที่ใช้ในเฟิร์มแวร์ของ Clevo ทำให้เฟิร์มแวร์ที่เป็นอันตรายสามารถ bypass การตรวจสอบของ Boot Guard ได้
เพื่อประเมินขอบเขตของช่องโหว่นี้ Binarly ได้นำ Key ที่รั่วไหลมาใช้กับ Transparency Platform เพื่อสแกนหาผลกระทบในระบบ ผลลัพธ์ที่ได้พบว่ามีเฟิร์มแวร์ 15 เวอร์ชัน จาก 10 อุปกรณ์ที่ใช้ Key เหล่านี้ ซึ่งรวมถึง Gigabyte G6X 9KG รุ่นปี 2025 ที่เพิ่งเปิดตัว
แม้ว่าการรั่วไหลครั้งนี้อาจไม่ส่งผลกระทบโดยตรงต่อผู้ผลิตรายใหญ่อื่น ๆ แต่ก็มีแนวโน้มที่จะสร้างผลกระทบเป็นวงกว้าง เนื่องจาก Clevo เป็น Original Design Manufacturer (ODM) ที่ผลิตอุปกรณ์ให้กับหลายแบรนด์
อุปกรณ์ที่ได้รับผลกระทบ
อุปกรณ์ที่พบว่ามีเฟิร์มแวร์ที่ใช้ Key ที่รั่วไหล ได้แก่:
- XPG Xenia 15G G2303_V1.0.8 (Clevo, Insyde)
- Gigabyte G5 KE (Clevo, Insyde)
- Gigabyte G5 KF 2024 (Clevo, Insyde)
- Gigabyte G5 KF5 2024 (Clevo, Insyde)
- Gigabyte G5 ME (Clevo, Insyde)
- Gigabyte G6 KF (Clevo, Insyde)
- Gigabyte G6X 9KG 2024 (Clevo, Insyde)
- Gigabyte G7 KF (Clevo, Insyde)
- Notebook System Firmware 1.07.07TRO1 (Clevo, Insyde)
Binarly รายงานช่องโหว่นี้ไปยัง CERT/CC เมื่อวันที่ 28 กุมภาพันธ์ 2025 แต่ต่อมาทาง CERT/CC ได้ปิดเคสนี้ลงโดยไม่มีคำอธิบายเพิ่มเติม
การรั่วไหลดังกล่าวแสดงให้เห็นถึงความเสี่ยงที่เชื่อมโยงกันภายในระบบ UEFI ซึ่งการเข้าถึง Key เพียงครั้งเดียวสามารถส่งผลกระทบต่ออุปกรณ์หลายเครื่องในผู้จำหน่ายหลายราย
คำแนะนำ
- ผู้ใช้ที่ได้รับผลกระทบควรติดตามการอัปเดตเฟิร์มแวร์ที่แก้ไขช่องโหว่
- ผู้ผลิตควรทำการตรวจสอบความปลอดภัยอย่างละเอียด เพื่อลดความเสี่ยงของการรั่วไหลในอนาคต
- ผู้พัฒนา UEFI โดยรวม ควรเฝ้าระวังการละเมิดความปลอดภัยของ Key และร่วมมือกันเพื่อเสริมสร้างมาตรฐานด้านความปลอดภัย
การรั่วไหลของ Boot Guard Private Key ในเฟิร์มแวร์ของ Clevo เป็นความเสี่ยงด้านความปลอดภัยที่สำคัญ ซึ่งแสดงให้เห็นถึงความจำเป็นในการใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งในระบบ UEFI ทั้งหมด
ที่มา : gbhackers
You must be logged in to post a comment.