La firma de seguridad de firmware Eclypsium ha descubierto que alrededor de 200.000 sistemas Linux de Framework incluyen componentes UEFI firmados vulnerables al bypass de Secure Boot. Estos componentes permiten a los atacantes instalar bootkits persistentes explotando un comando de modificación de memoria. Framework está abordando el problema con actualizaciones para los modelos afectados.
Eclypsium, una empresa de seguridad de firmware, informó que aproximadamente 200.000 sistemas Linux enviados por Framework contienen shells UEFI firmados vulnerables al bypass de Secure Boot. Estos shells, destinados como herramientas de diagnóstico legítimas firmadas con certificados de confianza, incluyen un comando "memory modify" (mm) que proporciona acceso directo de lectura/escritura a la memoria del sistema. Esta funcionalidad puede ser abusada para sobrescribir la variable UEFI gSecurity2 con NULL, desactivando la verificación de firmas y las comprobaciones de módulos durante el proceso de arranque.
El ataque apunta a la variable global gSecurity2, que señala al Protocolo Arquitectónico de Seguridad utilizado por la función LoadImage para verificar firmas digitales antes de cargar módulos UEFI. Como se detalla en el informe de Eclypsium, "Una vez identificada la dirección, el comando mm puede sobrescribir el puntero del manejador de seguridad con NULL o redirigirlo a una función que siempre devuelve 'éxito' sin realizar ninguna verificación." Los atacantes pueden localizar el puntero usando comandos de shell UEFI, parchearlo para desactivar las comprobaciones y luego cargar bootkits o rootkits sin firmar. Para la persistencia, pueden soltar un script startup.nsh para volver a ejecutar el bypass en cada arranque, otorgando control pre-OS incluso cuando Secure Boot parece habilitado.
Los investigadores desarrollaron scripts en Python y shell para detectar el comando mm y confirmaron su presencia en shells firmados por Framework, afectando a más de 200.000 dispositivos. Algunos modelos han recibido correcciones, como la versión 3.08 para Intel de 13ª Gen y 3.16 para la serie Ryzen 7040, mientras que otros esperan actualizaciones. Framework está emitiendo actualizaciones DBX para poner en lista negra los shells vulnerables.
Esta vulnerabilidad resalta los riesgos continuos en componentes UEFI firmados, similares a problemas pasados como CVE-2022-34302, CVE-2023-48733 y CVE-2024-7344. Eclypsium advierte, "La superficie de ataque 'debajo' del sistema operativo, que abarca firmware, cargadores de arranque y componentes de hardware, representa un objetivo maduro para los actores de amenazas. Como demuestra nuestra investigación, los atacantes que pueden operar en este nivel pueden eludir virtualmente todos los controles de seguridad que hemos construido por encima." Para mitigar, los expertos recomiendan actualizar listas de revocación UEFI, usar contraseñas BIOS, gestionar claves personalizadas de Secure Boot y escanear firmware.