A empresa de segurança de firmware Eclypsium descobriu que cerca de 200.000 sistemas Linux da Framework incluem componentes UEFI assinados vulneráveis ao bypass do Secure Boot. Esses componentes permitem que atacantes instalem bootkits persistentes explorando um comando de modificação de memória. A Framework está abordando o problema com atualizações para os modelos afetados.
A Eclypsium, uma empresa de segurança de firmware, relatou que aproximadamente 200.000 sistemas Linux enviados pela Framework contêm shells UEFI assinados vulneráveis ao bypass do Secure Boot. Esses shells, destinados como ferramentas de diagnóstico legítimas assinadas com certificados confiáveis, incluem um comando "memory modify" (mm) que fornece acesso direto de leitura/escrita à memória do sistema. Essa funcionalidade pode ser abusada para sobrescrever a variável UEFI gSecurity2 com NULL, desativando a verificação de assinaturas e verificações de módulos durante o processo de inicialização.
O ataque visa a variável global gSecurity2, que aponta para o Protocolo Arquitetural de Segurança usado pela função LoadImage para verificar assinaturas digitais antes de carregar módulos UEFI. Como detalhado no relatório da Eclypsium, "Uma vez que o endereço é identificado, o comando mm pode sobrescrever o ponteiro do manipulador de segurança com NULL ou redirecioná-lo para uma função que sempre retorna 'sucesso' sem realizar qualquer verificação." Atacantes podem localizar o ponteiro usando comandos de shell UEFI, corrigi-lo para desativar as verificações e, em seguida, carregar bootkits ou rootkits não assinados. Para persistência, eles podem descartar um script startup.nsh para reexecutar o bypass em cada inicialização, concedendo controle pré-OS mesmo quando o Secure Boot parece ativado.
Pesquisadores desenvolveram scripts em Python e shell para detectar o comando mm e confirmaram sua presença em shells assinados pela Framework, afetando mais de 200.000 dispositivos. Alguns modelos receberam correções, como a versão 3.08 para Intel de 13ª Geração e 3.16 para a série Ryzen 7040, enquanto outros aguardam atualizações. A Framework está emitindo atualizações DBX para listar os shells vulneráveis como bloqueados.
Essa vulnerabilidade destaca riscos contínuos em componentes UEFI assinados, semelhantes a problemas passados como CVE-2022-34302, CVE-2023-48733 e CVE-2024-7344. A Eclypsium alerta, "A superfície de ataque 'abaixo' do sistema operacional, abrangendo firmware, carregadores de boot e componentes de hardware, representa um alvo maduro para atores de ameaças. Como nossa pesquisa demonstra, atacantes que podem operar nesse nível podem contornar virtualmente todos os controles de segurança que construímos acima dele." Para mitigar, especialistas recomendam atualizar listas de revogação UEFI, usar senhas BIOS, gerenciar chaves personalizadas do Secure Boot e escanear firmware.