Artikel top billede

Softwarelæk kan åbne døren for BIOS-hackere

AMI bekræfter, at kildetekst til UEFI BIOS er lækket på nettet, men afviser, at brugernes sikkerhed er truet.

Sikkerhedsforskeren Adam Caudill har fundet kildeteksten til UEFI BIOS-firmware og en tilhørende privat krypteringsnøgle fra American Megatrends (AMI) på en åben FTP-server i Taiwan. Denne nøgle kan bruges til at udvikle falske BIOS-opdateringer med malware, som så kan smugles ind på computeren.

AMI har nu udsendt en pressemeddelelse og bekræftet, at UEFI-kildeteksten og den private nøgle er ægte. Men det er en af selskabets partnere og ikke AMI selv, der har lækket koden.

Desuden mener AMI, at sikkerhedstruslen er begrænset. Der er kun tale om en testnøgle, forklarer selskabet, og den bliver normalt skiftet ud med en produktionsnøgle i den færdige BIOS.

Testnøglen er kun beregnet til udviklere, og den lækkede kode samt nøgle burde derfor ikke være en trussel mod brugere med AMIs firmware. Men det kan ikke garanteres, at nogle producenter ikke har brugt testnøgler i deres færdige produkter - stik imod AMI's anbefalinger.

"Sagen er bekymrende, men AMI vil gerne understrege overfor sine kunder og partnere, at det ikke burde være et sikkerheds-problem for dem. Hvis de har fulgt den normale procedure for BIOS-signering, vil sikkerhedsfunktionerne i vores BIOS og signatur-processen fungere som ønsket og være 100 pct. sikker," lyder kommentaren fra AMI-chef Subramonian Shankar.

Men selv hvis nøglerne ikke direkte kan bruges til at smugle skadelig kode ind på computere med UEFI fra AMI, er den lækkede kode alligevel et problem for selskabet. Hackere kan hente og analysere koden og bruge den til at finde svagheder, der kan udnyttes til angreb.

Adam Caudill henviser til, at UEFI-firmware kun sjældent bliver opdateret, og dermed kan der gå lang tid, inden mulige sikkerhedshuller bliver rettet.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere


Analytics, BI og data science: Data-behandling i realtid

Datadrevne løsninger er godt på vej til at vinde indpas i næsten alle industrier - og med god grund. For der er store muligheder i at kunne forstå, fortolke og reagere lynhurtigt på de store datamængder, som alle organisationer genererer. På dette seminar kan du høre om nogle af de bedste eksempler inden for praktisk anvendelse af avanceret data-analyse, hvordan du kommer i gang, og hvordan du kan høste udbytte.

22. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere