ファームウェアセキュリティ企業Eclypsiumは、Frameworkの約20万台のLinuxシステムに、Secure Bootバイパスに脆弱な署名済みUEFIコンポーネントが含まれていることを発見した。これらのコンポーネントは、メモリ変更コマンドを悪用して永続的なブートキットをインストールすることを攻撃者に可能にする。Frameworkは影響を受けるモデル向けの更新で問題に対処している。
ファームウェアセキュリティ企業Eclypsiumは、Frameworkが出荷した約20万台のLinuxシステムに、Secure Bootバイパスに脆弱な署名済みUEFIシェルが含まれていると報告した。これらのシェルは、信頼できる証明書で署名された正当な診断ツールとして意図されたもので、「memory modify」(mm)コマンドを含み、システムメモリへの直接読み取り/書き込みアクセスを提供する。この機能は、UEFI変数gSecurity2をNULLで上書きして、ブートプロセス中の署名検証とモジュールチェックを無効化するために悪用可能である。
この攻撃は、LoadImage関数がUEFIモジュールをロードする前にデジタル署名を検証するために使用されるSecurity Architectural Protocolを指すグローバル変数gSecurity2を標的とする。Eclypsiumのレポートで詳述されているように、「アドレスが特定されると、mmコマンドはセキュリティハンドラーポインタをNULLで上書きするか、検証なしに常に「成功」を返す関数にリダイレクトできる。」攻撃者はUEFIシェルコマンドを使用してポインタを特定し、チェックを無効化するためにパッチを適用し、その後署名されていないブートキットやルートキットをロードできる。永続性のため、毎回のブートでバイパスを再実行するstartup.nshスクリプトをドロップし、Secure Bootが有効に見えてもOS前の制御を付与できる。
研究者はmmコマンドを検出するためのPythonおよびシェルスクリプトを開発し、Framework署名シェルでの存在を確認し、20万台以上のデバイスに影響を与えている。一部のモデルには修正が適用されており、13世代Intel向けのバージョン3.08やRyzen 7040シリーズ向けの3.16などであるが、他のモデルは更新を待っている。Frameworkは脆弱なシェルをブラックリスト化するためのDBX更新を発行している。
この脆弱性は、署名済みUEFIコンポーネントの継続的なリスクを強調しており、CVE-2022-34302、CVE-2023-48733、CVE-2024-7344などの過去の問題に類似している。Eclypsiumは警告する、「OS「以下」の攻撃面、つまりファームウェア、ブートローダー、ハードウェアコンポーネントは、脅威アクターにとって熟した標的である。私たちの研究が示すように、このレベルで動作する攻撃者は、私たちが構築した上記のほぼすべてのセキュリティ制御をバイパスできる。」緩和策として、専門家はUEFI撤回リストの更新、BIOSパスワードの使用、カスタムSecure Bootキーの管理、ファームウェアのスキャンを推奨する。