Около 200 000 компьютерных систем Linux от американского производителя компьютеров Framework были поставлены с подписанными компонентами оболочки UEFI, которые можно было использовать для обхода защиты Secure Boot.
Злоумышленник может воспользоваться этим и загрузить буткиты (например, , и ), которые могут обойти средства защиты на уровне ОС и сохраняться после переустановки ОС.
По данным компании Eclypsium, занимающейся безопасностью прошивок, проблема возникает из-за включения команды «изменение памяти» ( mm ) в легитимно подписанные оболочки UEFI, которые Framework поставляет вместе со своими системами.
Эта команда обеспечивает прямой доступ к системной памяти для чтения/записи и предназначена для низкоуровневой диагностики и отладки прошивки. Однако её также можно использовать для разрыва цепочки доверия Secure Boot, обратившись к переменной gSecurity2, критически важному компоненту процесса проверки подписей модулей UEFI.
Команду mm можно использовать неправильно, чтобы перезаписать gSecurity2 значением NULL, фактически отключив проверку подписи.
«После определения адреса команда mm может перезаписать указатель обработчика безопасности значением NULL или перенаправить его в функцию, которая всегда возвращает «успех» без выполнения какой-либо проверки», —
«Эта команда записывает нули в ячейку памяти, содержащую указатель обработчика безопасности, фактически отключая проверку подписи для всех последующих загрузок модулей».
Исследователи также отмечают, что атаку можно автоматизировать с помощью скриптов запуска, которые будут сохраняться после перезагрузок.
Framework — американская компания-производитель оборудования, известная разработкой модульных и легко ремонтируемых ноутбуков и настольных компьютеров.
Наличие опасной команды mm не является результатом взлома, а, скорее, упущением. Узнав о проблеме, Framework начал работу по устранению уязвимостей.
Исследователи Eclypsium подсчитали, что проблема затронула около 200 000 компьютеров Framework:
Злоумышленник может воспользоваться этим и загрузить буткиты (например, , и ), которые могут обойти средства защиты на уровне ОС и сохраняться после переустановки ОС.
Мощная mm команда
По данным компании Eclypsium, занимающейся безопасностью прошивок, проблема возникает из-за включения команды «изменение памяти» ( mm ) в легитимно подписанные оболочки UEFI, которые Framework поставляет вместе со своими системами.
Эта команда обеспечивает прямой доступ к системной памяти для чтения/записи и предназначена для низкоуровневой диагностики и отладки прошивки. Однако её также можно использовать для разрыва цепочки доверия Secure Boot, обратившись к переменной gSecurity2, критически важному компоненту процесса проверки подписей модулей UEFI.
Команду mm можно использовать неправильно, чтобы перезаписать gSecurity2 значением NULL, фактически отключив проверку подписи.
«После определения адреса команда mm может перезаписать указатель обработчика безопасности значением NULL или перенаправить его в функцию, которая всегда возвращает «успех» без выполнения какой-либо проверки», —
«Эта команда записывает нули в ячейку памяти, содержащую указатель обработчика безопасности, фактически отключая проверку подписи для всех последующих загрузок модулей».
Исследователи также отмечают, что атаку можно автоматизировать с помощью скриптов запуска, которые будут сохраняться после перезагрузок.
Около 200 000 затронутых систем
Framework — американская компания-производитель оборудования, известная разработкой модульных и легко ремонтируемых ноутбуков и настольных компьютеров.
Наличие опасной команды mm не является результатом взлома, а, скорее, упущением. Узнав о проблеме, Framework начал работу по устранению уязвимостей.
Исследователи Eclypsium подсчитали, что проблема затронула около 200 000 компьютеров Framework:
- Framework 13 (11-е поколение Intel), исправление запланировано в версии 3.24
- Framework 13 (12-е поколение Intel), исправлено в версии 3.18, обновление DBX запланировано в версии 3.19
- Framework 13 (13-е поколение Intel), исправлено в версии 3.08, обновление DBX выпущено в версии 3.09
- Framework 13 (Intel Core Ultra), исправлено в версии 3.06
- Framework 13 (AMD Ryzen 7040), исправлено в версии 3.16
- Framework 13 (AMD Ryzen AI 300), исправлено в версии 3.04, обновление DBX запланировано в версии 3.05
- Framework 16 (AMD Ryzen 7040), исправлено в версии 3.06 (бета), обновление DBX выпущено в версии 3.07
- Framework Desktop (AMD Ryzen AI 300 MAX), исправлено в версии 3.01, обновление DBX запланировано в версии 3.03
