Près de 200 000 ordinateurs Linux du fabricant américain Framework ont été livrés avec une vulnérabilité permettant de contourner Secure Boot. Le problème provient d'une commande 'memory modify' dans des shells UEFI signés qui peut désactiver la vérification des signatures. Framework traite le problème via des mises à jour de firmware.
Le 14 octobre 2025, la société de sécurité Eclypsium a divulgué une vulnérabilité importante dans les systèmes Linux de Framework, estimant qu'environ 200 000 appareils sont affectés. Cela inclut divers modèles d'ordinateurs portables et de bureau modulaires de Framework, connus pour leur réparabilité. La faille résulte de l'inclusion d'une commande 'memory modify' (mm) dans des shells UEFI signés légitimement, qui fournit un accès direct en lecture/écriture à la mémoire système pour les diagnostics et le débogage.
Cependant, cette commande peut être exploitée pour cibler la variable gSecurity2, une partie clé du processus de vérification des signatures de Secure Boot. En écrasant gSecurity2 avec NULL, les attaquants peuvent désactiver les vérifications, permettant le chargement de bootkits non autorisés comme BlackLotus, HybridPetya et Bootkitty. Ces bootkits contournent la sécurité du système d'exploitation et persistent même après réinstallation. L'attaque peut être automatisée via des scripts de démarrage pour une persistance à travers les redémarrages.
Eclypsium a expliqué : « Une fois l'adresse identifiée, la commande mm peut écraser le pointeur du gestionnaire de sécurité avec NULL ou le rediriger vers une fonction qui retourne toujours 'succès' sans effectuer de vérification. » Ils ont ajouté : « Cette commande écrit des zéros à l'emplacement mémoire contenant le pointeur du gestionnaire de sécurité, désactivant efficacement la vérification des signatures pour toutes les charges de modules subséquentes. »
Le problème n'est pas dû à un compromis de la chaîne d'approvisionnement mais à une omission dans l'inclusion de la commande risquée. Framework, une entreprise basée aux États-Unis, a commencé la remédiation. Les modèles affectés et leurs statuts de correction incluent :
- Framework 13 (11e Gen Intel) : Correction prévue en 3.24
- Framework 13 (12e Gen Intel) : Corrigé en 3.18, mise à jour DBX prévue en 3.19
- Framework 13 (13e Gen Intel) : Corrigé en 3.08, mise à jour DBX émise en 3.09
- Framework 13 (Intel Core Ultra) : Corrigé en 3.06
- Framework 13 (AMD Ryzen 7040) : Corrigé en 3.16
- Framework 13 (AMD Ryzen AI 300) : Corrigé en 3.04, mise à jour DBX prévue en 3.05
- Framework 16 (AMD Ryzen 7040) : Corrigé en 3.06 (Beta), mise à jour DBX émise en 3.07
- Framework Desktop (AMD Ryzen AI 300 MAX) : Corrigé en 3.01, mise à jour DBX prévue en 3.03
Les utilisateurs doivent appliquer les mises à jour disponibles sans tarder. Pour les systèmes non corrigés, les recommandations incluent empêcher l'accès physique et supprimer la clé DB de Framework via le BIOS comme mesure temporaire.