Firmware-säkerhetsföretaget Eclypsium har upptäckt att cirka 200 000 Linux-system från Framework inkluderar signerade UEFI-komponenter som är sårbara för Secure Boot-åverkan. Dessa komponenter gör det möjligt för angripare att installera persistenta bootkits genom att utnyttja ett minnesmodifieringskommando. Framework hanterar problemet med uppdateringar för berörda modeller.
Eclypsium, ett firmware-säkerhetsföretag, rapporterade att cirka 200 000 Linux-system som levererats av Framework innehåller signerade UEFI-skal som är sårbara för Secure Boot-åverkan. Dessa skal, avsedda som legitima diagnostikverktyg signerade med betrodda certifikat, inkluderar ett "memory modify" (mm)-kommando som ger direkt läsnings-/skrivåtkomst till systemminnet. Denna funktionalitet kan missbrukas för att skriva över UEFI-variabeln gSecurity2 med NULL, vilket inaktiverar signaturverifiering och modulkontroller under boot-processen.
Attacken riktar sig mot den globala variabeln gSecurity2, som pekar på Security Architectural Protocol som används av LoadImage-funktionen för att verifiera digitala signaturer innan UEFI-moduler laddas. Som beskrivs i Eclypsiums rapport, "När adressen har identifierats kan mm-kommandot skriva över säkerhetshanterarpekaren med NULL eller omdirigera den till en funktion som alltid returnerar 'success' utan att utföra någon verifiering." Angripare kan lokalisera pekaren med UEFI-shellkommandon, patcha den för att inaktivera kontroller och sedan ladda osignerade bootkits eller rootkits. För persistens kan de placera en startup.nsh-skript för att köra åverkan vid varje boot, vilket ger pre-OS-kontroll även när Secure Boot verkar aktiverat.
Forskare utvecklade Python- och shell-skript för att detektera mm-kommandot och bekräftade dess närvaro i Framework-signerade skal, vilket påverkar över 200 000 enheter. Vissa modeller har fått fixar, som version 3.08 för 13:e gen Intel och 3.16 för Ryzen 7040-serien, medan andra väntar på uppdateringar. Framework utfärdar DBX-uppdateringar för att svartlista de sårbara skal.
Denna sårbarhet belyser pågående risker i signerade UEFI-komponenter, liknande tidigare problem som CVE-2022-34302, CVE-2023-48733 och CVE-2024-7344. Eclypsium varnar, "Attackytan 'under' operativsystemet, som omfattar firmware, bootloaders och hårdvarukomponenter, utgör en mogen måltavla för hotaktörer. Som vår forskning visar kan angripare som opererar på denna nivå kringgå nästan alla säkerhetskontroller vi byggt ovanför den." För att mildra rekommenderar experter att uppdatera UEFI-återkallelselistor, använda BIOS-lösenord, hantera anpassade Secure Boot-nycklar och skanna firmware.