Artikel top billede

Softwarelæk kan åbne døren for BIOS-hackere

AMI bekræfter, at kildetekst til UEFI BIOS er lækket på nettet, men afviser, at brugernes sikkerhed er truet.

Sikkerhedsforskeren Adam Caudill har fundet kildeteksten til UEFI BIOS-firmware og en tilhørende privat krypteringsnøgle fra American Megatrends (AMI) på en åben FTP-server i Taiwan. Denne nøgle kan bruges til at udvikle falske BIOS-opdateringer med malware, som så kan smugles ind på computeren.

AMI har nu udsendt en pressemeddelelse og bekræftet, at UEFI-kildeteksten og den private nøgle er ægte. Men det er en af selskabets partnere og ikke AMI selv, der har lækket koden.

Desuden mener AMI, at sikkerhedstruslen er begrænset. Der er kun tale om en testnøgle, forklarer selskabet, og den bliver normalt skiftet ud med en produktionsnøgle i den færdige BIOS.

Testnøglen er kun beregnet til udviklere, og den lækkede kode samt nøgle burde derfor ikke være en trussel mod brugere med AMIs firmware. Men det kan ikke garanteres, at nogle producenter ikke har brugt testnøgler i deres færdige produkter - stik imod AMI's anbefalinger.

"Sagen er bekymrende, men AMI vil gerne understrege overfor sine kunder og partnere, at det ikke burde være et sikkerheds-problem for dem. Hvis de har fulgt den normale procedure for BIOS-signering, vil sikkerhedsfunktionerne i vores BIOS og signatur-processen fungere som ønsket og være 100 pct. sikker," lyder kommentaren fra AMI-chef Subramonian Shankar.

Men selv hvis nøglerne ikke direkte kan bruges til at smugle skadelig kode ind på computere med UEFI fra AMI, er den lækkede kode alligevel et problem for selskabet. Hackere kan hente og analysere koden og bruge den til at finde svagheder, der kan udnyttes til angreb.

Adam Caudill henviser til, at UEFI-firmware kun sjældent bliver opdateret, og dermed kan der gå lang tid, inden mulige sikkerhedshuller bliver rettet.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere