Около 200 000 компьютерных систем на базе Linux от американского производителя компьютеров Framework были оснащены подписанными компонентами оболочки UEFI, которые можно было использовать для обхода защиты Secure Boot.
Злоумышленник может воспользоваться этим, чтобы загрузить буткиты (например, BlackLotus, HybridPetya и Bootkitty), которые могут обходить средства защиты на уровне ОС и сохраняться при переустановке ОС.
Мощная команда мм
По данным компании Eclypsium, специализирующейся на безопасности встроенного ПО, проблема связана с включением команды «изменение памяти» (mm) в оболочки UEFI с законной подписью, которые Framework поставляла вместе со своими системами.
Команда обеспечивает прямой доступ для чтения и записи в системную память и предназначена для низкоуровневой диагностики и отладки встроенного ПО. Однако её также можно использовать для взлома цепочки доверия безопасной загрузки, воздействуя на переменную gSecurity2 — критически важный компонент в процессе проверки подписей модулей UEFI.
Команду mm можно использовать для перезаписи gSecurity2 значением NULL, что фактически отключает проверку подписи.
«После определения адреса команда mm может перезаписать указатель обработчика безопасности значением NULL или перенаправить его в функцию, которая всегда возвращает значение «успешно» без какой-либо проверки», — Eclypsium
«Эта команда записывает нули в область памяти, содержащую указатель на обработчик безопасности, что фактически отключает проверку подписи для всех последующих загрузок модулей».
Исследователи также отмечают, что атака может быть автоматизирована с помощью сценариев запуска, чтобы она продолжалась и после перезагрузки.
Пострадало около 200 000 систем
Framework — американская компания по производству оборудования, известная разработкой модульных и легко ремонтируемых ноутбуков и настольных компьютеров.
Наличие опасной команды mm не является результатом взлома, а скорее свидетельствует о недосмотре. Узнав об этой проблеме, компания Framework начала работу над устранением уязвимостей.
По оценкам исследователей Eclypsium, проблема затронула около 200 000 компьютеров на базе Framework.
- Framework 13 (Intel 11-го поколения), исправление запланировано на версию 3.24
- Framework 13 (Intel 12-го поколения), исправлено в версии 3.18, обновление DBX запланировано на версию 3.19
- Framework 13 (Intel 13-го поколения), исправлено в версии 3.08, обновление DBX выпущено в версии 3.09
- Framework 13 (Intel Core Ultra), исправлено в версии 3.06
- Framework 13 (AMD Ryzen 7040), исправлено в версии 3.16
- Framework 13 (AMD Ryzen AI 300), исправлено в версии 3.04, обновление DBX запланировано на версию 3.05
- Framework 16 (AMD Ryzen 7040), исправлено в версии 3.06 (бета), обновление DBX выпущено в версии 3.07
- Framework Desktop (AMD Ryzen AI 300 MAX), исправлено в версии 3.01, обновление DBX запланировано на версию 3.03
Пользователям, которых затронула проблема, рекомендуется установить доступные обновления безопасности. Если обновление ещё не доступно, крайне важно принять дополнительные меры защиты, например ограничить физический доступ. Ещё одно временное решение — удалить ключ базы данных Framework через BIOS.