UEFI-Secure-Boot-Schlüssel von AMI kompromittiert

Update Ferdinand Thommes
56 Kommentare

Wie der US-Sicherheitsexperte Adam Caudill heute in seinem Blog schrieb, hat ein befreundeter Experte einen offenen FTP-Server in Taiwan entdeckt, der brisantes Material der Firma American Megatrends (AMI) enthält. Neben viel Privatem liegt dort angeblich ungeschützt der Quellcode zum AMI-BIOS und entsprechende UEFI-Schlüssel.

Auf dem FTP-Server, der angeblich frei zugänglich ist, sollen in einem Ordner sowohl der Quellcode zu AMIs BIOS-Firmware als auch der dazu passende private Signierschlüssel für AMIs UEFI-Secure-Boot für Intels „Ivy Bridge“-Plattform liegen. Der Code lässt laut Caudill vermuten, dass die Daten vom Februar 2013 stammen und somit aktuell sind. Weiterhin liegt dort Dokumentationsmaterial (PDF) aus einem Vortrag über die Implementation von Updates für AMIs Firmware und UEFI Secure Boot. Der Server gehört einem ungenannten Hardware-Hersteller, wie die weiteren gefundenen Daten, beispielsweise hoch aufgelöste PCB-Bilder, Excel-Tabellen und Mail-Verkehr, nahelegen.

Das dort vorgefundene Material ermöglicht es nach Caudills Aussage relativ einfach, gefälschte Updates der Firmware samt dem UEFI-Schlüssel authentifizieren und identifizieren zu lassen. Rechner, die derart kompromittiert werden, sind ein Glücksfall für beispielsweise Industrie-Spione und andere Cyber-Kriminelle, denn eine solche Lücke an der Basis des Systems kann sehr lange unentdeckt bleiben. Warnungen von Herstellern zu Sicherheitsproblemen in ihrer Firmware verhallen zudem zu einem großen Prozentsatz ungehört, da Anwender erfahrungsgemäß Firmware-Aktualisierungen ungern und nur im Notfall vornehmen. Eine weitere Variante dieses Material auszunutzen, wäre die Erstellung eines Firmware-Image, das nach dem ersten Hochfahren das Mainboard zerstört, wie etwa unbeabsichtigt kürzlich bei Samsung-Notebooks geschehen.

Somit wird das hier zu Tage tretende Problem noch eine Weile weiter bestehen, sofern der Code bereits auf Mainboards implementiert wurde, die in den Handel gelangten. Caudill hat sowohl American Megatrends Inc. als auch den ungenannten Betreiber des ungesicherten Servers auf die Situation aufmerksam gemacht. Jetzt bleibt zu hoffen, dass sowohl AMI als auch der Hardware-Hersteller offen mit der Panne umgehen und potenziell gefährdete Anwender schnell und ausreichend informiert werden.

Update

Mittlerweile hat auch Kernel-Entwickler und UEFI-Experte Matthew Garrett den Vorfall technisch anhand der wenigen bekannten Fakten analysiert. Er sieht durchaus eine Gefahr, dass Mainboards mit AMI-Bios gefährdet sein könnten. Die Frage ist laut Garrett, ob der Schlüssel vom Februar 2013 wirklich zum Signieren von Firmware auf in den Handel gelangten Mainboards benutzt wurde oder ob es sich nur um einen internen Schlüssel für Tests handelt.