Een sleutel van BIOS-reus American Megatrends (AMI) om UEFI-firmware van een handtekening te voorzien, is uitgelekt via een moederbordenfabrikant. Met deze sleutel zouden kwaadwillenden malafide UEFI-firmware-updates voor Ivy Bridge-systemen in elkaar kunnen zetten die vervolgens door deze systemen als legitiem worden gezien.

Mobo-fabrikant lekt sleutel

Ontwikkelaar en beveiligingsdeskundige Adam Caudill vond de code op een onveilige FTP-server van de Taiwanese moederbordenfabrikant Jetway. Op de FTP stond de behalve de UEFI-sleutel ook de broncode van meerdere BIOS-versies van AMI. De ontwikkelaar wilde de naam niet vrijgeven van de lekkende partij, maar een oplettende collega ontdekte de bron dankzij enkele van de gepubliceerde bestandsnamen.

“Als de fabrikant dezelfde sleutel gebruikt voor andere producten kan de impact zelfs nog groter zijn", schrijft Caudill. “Zelfs met een snelle reactie is de kans groot dat gebruikers lange tijd onbeschermd zullen zijn. Omdat gebruikers pas hun firmware updaten als ze problemen hebben, verwacht ik dat dit probleem een lange tijd blijft spelen."

Broncode BIOS-firmware

De gelekte broncodes van BIOS-systemen kunnen ook problemen opleveren. “De lakse (of niet-bestaande) beveiliging van deze fabrikant kan wel eens grote gevolgen hebben", waarschuwt Caudill. “Er is nu een belangrijk deel van AMI's intellectuele eigendom gratis beschikbaar voor de concurrentie." Volgens de ontwikkelaar is dit soort lekken de droom van bedrijfsspionnen die zich permanent toegang zouden kunnen verschaffen tot bedrijfssystemen.

Maar ook de beveiligingsgevolgen voor doorsnee computergebruikers zijn potentieel groot. “Deze code kan nu onderworpen worden aan een grondige blik - als een beveiligingsissue in de firmware wordt ontdekt, kan dit impact hebben op alle gebruikers die firmware bezitten die op de gelekte code is gebaseerd."

De ontwikkelaar wijst op de gestolen broncodes van antivirusfabrikant Symantec vorig jaar. Dat bleek later volgens de fabrikant vooral om verouderde programmatuur te gaan en dat zou ook kunnen gelden voor deze AMI-broncodes. Overigens moest Symantec toen wel aanpassingen doen na de broncodediefstal. De AMI-bestanden op de FTP-server geven aan dat ze rond februari zijn geplaatst.