Estimados/as,
En primer lugar quiero comentar que estoy muy satisfecho con la línea de portátiles de SlimBook y el buen trabajo de soporte que realizan desde la compañía. La intención de esta publicación no es otra que levantar un punto de atención sobre una vulnerabilidad que afecta a buena parte de la industria y conocer las medidas que se están tomando al respecto.
Este pasado mes de julio de 2024, Binarly publicó una advisory de seguridad (BRLY-2024-005 [1]) que afecta al Secure Boot de un importante número de firmwares de diversos fabricantes. Ha sido también registrada como CVE-2024-8105 [2].
En esencia, la vulnerabilidad consiste en que se ha utilizado una clave de pruebas como Platform Key (PK), y dado que es de pruebas, debe considerarse comprometida e insegura.
El problema es fácilmente identificable porque las claves de prueba llevan los textos DO NOT TRUST o DO NOT SHIP en sus subjects. Se puede comprobar tanto desde EFI como desde Linux o Windows.
Este es el caso de un PRO-X 15' de AMD:
~$ efi-readvar -v PK
Variable PK, length 850
PK: List 0, type X509
Signature 0, size 822, owner 26dc4851-195f-4ae1-9a19-fbf883bbb35e
Subject:
CN=DO NOT TRUST - Test PK
Issuer:
CN=DO NOT TRUST - Test PK
La solución pasa por emitir una nueva PK que sea de confianza, que normalmente se debe distribuir en forma de actualización del firmware.
¿Se está investigando el tema? ¿Hay solución en camino? Es comprensible que la solución lleve tiempo, pero quería saber si estáis trabajando en ello.
[1] https://www.binarly.io/advisories/brly-2024-005
[2] https://www.cve.org/CVERecord?id=CVE-2024-8105