Обход Boot Guard: найдены уязвимые BIOS на ноутбуках Clevo и Gigabyte
Ошибки в управлении ключами ставят под удар UEFI-экосистему.
В конце февраля 2025 года Binarly получила сообщение о подозрительном инциденте в экосистеме UEFI. Запись в публичном репозитории SupplyChainAttacks указывала на утечку приватных ключей Boot Guard в прошивках устройств Clevo. Источник — форум Win-Raid, где пользователь обнаружил приватные ключи в открытом доступе в составе пакета обновления BIOS.
Подозрения подтвердились: исследование показало, что в бинарном файле BootGuardKey.exe действительно содержатся два приватных ключа, также продублированные в отдельных PEM-файлах. Извлечённые модули ключей совпадают с модулями, используемыми в Boot Guard Key Manifest и Boot Policy Manifest в прошивках Clevo. Это означает, что злоумышленник может подписать вредоносную прошивку, которая будет успешно проходить проверку подлинности на уровне платформы, обходя механизм защиты Boot Guard.
Binarly выявила 15 прошивок с раскрытыми ключами, охватывающих 10 уникальных устройств. Все используют BIOS от Insyde и произведены на ODM-платформе Clevo. Среди них — модели Gigabyte G5, G6 и G7, включая выпущенный в 2025 году G6X 9KG.
| Device Name | ODM | IBV | Firmware Version | Release Date | Latest Version |
|---|---|---|---|---|---|
| XPG Xenia 15G G2303_V1.0.8 | Clevo | Insyde | 6.2.8320.0 | 2023-06-14 | True |
| Gigabyte G5 KE | Clevo | Insyde | FB05 | 2023-03-07 | True |
| Gigabyte G5 KF 2024 | Clevo | Insyde | FD06 | 2024-01-10 | True |
| Gigabyte G5 KF5 2024 | Clevo | Insyde | FD07 | 2024-10-17 | False |
| Gigabyte G5 KF5 2024 | Clevo | Insyde | FD10 | 2024-12-09 | True |
| Gigabyte G5 ME | Clevo | Insyde | FB04 | 2023-06-05 | True |
| Gigabyte G5 ME | Clevo | Insyde | FB04 | 2023-06-05 | False |
| Gigabyte G5 MF | Clevo | Insyde | FB03 | 2023-04-14 | True |
| Gigabyte G6 KF | Clevo | Insyde | FB06 | 2023-10-23 | True |
| Gigabyte G6X 9KG 2024 | Clevo | Insyde | FD07 | 2024-01-19 | False |
| Gigabyte G6X 9KG 2024 | Clevo | Insyde | FB10 | 2025-02-04 | True |
| Gigabyte G7 KF | Clevo | Insyde | FB10 | 2024-02-16 | True |
| Gigabyte G7 KF | Clevo | Insyde | FB09 | 2023-10-18 | False |
| NoteBook System Firmware 1.07.07TRO1 | Clevo | Insyde | 6.2.8319.7 | 2023-09-05 | True |
| NoteBook System Firmware 1.07.09TRO1 | Clevo | Insyde | 6.2.8319.9 | 2023-11-28 | True |
Примечательно, что среди затронутых устройств есть как устаревшие модели, так и актуальные версии прошивок. То есть скомпрометированные ключи продолжают использоваться в действующих продуктах, что делает потенциальную угрозу особенно опасной. Также в списке фигурируют два системных BIOS с названиями NoteBook System Firmware, не относящиеся напрямую к брендовым устройствам, что намекает на возможную вовлечённость других OEM-производителей.
Важно подчеркнуть, что проблема касается только устройств, базирующихся на платформах Clevo. В обширной базе данных Binarly, включающей более 200 000 пакетов прошивок от различных производителей, подобных утечек среди других вендоров обнаружено не было. Это говорит о том, что инцидент в первую очередь связан с ошибками управления ключами у конкретного ODM.
Binarly направила уведомление об уязвимости под кодом BRLY-2025-002 в координационный центр CERT/CC 28 февраля. Однако спустя несколько дней кейс был закрыт без подробных разъяснений. О всех деталях инцидента и повторяющихся ошибках в управлении ключами команда Binarly планирует рассказать на предстоящей конференции RSA.