Environ 200 000 systèmes informatiques Linux d’American computer maker Framework ont été livrés avec des composants shell UEFI signés qui pourraient être exploités pour contourner les protections de démarrage sécurisées.
Un attaquant pourrait en profiter pour charger des kits de démarrage (par exemple BlackLotus, HybridPetya et Bootkitty) qui peuvent échapper aux contrôles de sécurité au niveau du système d’exploitation et persister lors des réinstallations du système d’exploitation.
Commande mm puissante
Selon la société de sécurité du micrologiciel Eclypsium, le problème provient de l’inclusion d’une commande de « modification de la mémoire » (mm) dans les shells UEFI légitimement signés fournis par le Framework avec ses systèmes.
La commande fournit un accès direct en lecture / écriture à la mémoire système et est destinée aux diagnostics de bas niveau et au débogage du micrologiciel. Cependant, il peut également être utilisé pour rompre la chaîne de confiance du démarrage sécurisé en ciblant la variable gSecurity2, un composant essentiel dans le processus de vérification des signatures des modules UEFI.
La commande mm peut être utilisée abusivement pour écraser gSecurity2 avec NULL, désactivant efficacement la vérification de la signature.
« Une fois l’adresse identifiée, la commande mm peut écraser le pointeur du gestionnaire de sécurité avec NULL ou le rediriger vers une fonction qui renvoie toujours « succès » sans effectuer aucune vérification, » – Eclypsium
« Cette commande écrit des zéros dans l’emplacement mémoire contenant le pointeur du gestionnaire de sécurité, désactivant efficacement la vérification de la signature pour tous les chargements de modules ultérieurs. »
Les chercheurs notent également que l’attaque peut être automatisée via des scripts de démarrage pour persister à travers les redémarrages.
Environ 200 000 systèmes impactés
Framework est une société américaine de matériel informatique connue pour la conception d’ordinateurs portables et de bureau modulaires et facilement réparables.
La présence de la commande mm risquée n’est pas le résultat d’un compromis mais apparaît plutôt comme un oubli. Après avoir pris connaissance du problème, Framework a commencé à travailler sur la correction des vulnérabilités.
Les chercheurs d’Eclypsium estiment que le problème a touché environ 200 000 ordinateurs-cadres:
- Framework 13 (Intel de 11e génération), correctif prévu en 3.24
- Framework 13 (Intel 12e génération), corrigé en 3.18, mise à jour DBX prévue en 3.19
- Framework 13 (Intel de 13e génération), corrigé en 3.08, mise à jour DBX publiée en 3.09
- Framework 13 (Intel Core Ultra), corrigé en 3.06
- Framework 13 (AMD Ryzen 7040), corrigé en 3.16
- Framework 13 (AMD Ryzen AI 300), corrigé en 3.04, mise à jour DBX prévue en 3.05
- Framework 16 (AMD Ryzen 7040), corrigé en 3.06 (bêta), mise à jour DBX publiée en 3.07
- Framework Desktop (AMD Ryzen AI 300 MAX), corrigé en 3.01, mise à jour DBX prévue en 3.03
- Framework 13 (Intel de 11e génération), correctif prévu en 3.24
- Framework 13 (Intel 12e génération), corrigé en 3.18, mise à jour DBX prévue en 3.19
- Framework 13 (Intel de 13e génération), corrigé en 3.08, mise à jour DBX publiée en 3.09
- Framework 13 (Intel Core Ultra), corrigé en 3.06
- Framework 13 (AMD Ryzen 7040), corrigé en 3.16
- Framework 13 (AMD Ryzen AI 300), corrigé en 3.04, mise à jour DBX prévue en 3.05
- Framework 16 (AMD Ryzen 7040), corrigé en 3.06 (bêta), mise à jour DBX publiée en 3.07
- Framework Desktop (AMD Ryzen AI 300 MAX), corrigé en 3.01, mise à jour DBX prévue en 3.03
Il est recommandé aux utilisateurs concernés d’appliquer les mises à jour de sécurité disponibles. Lorsqu’un correctif n’est pas encore disponible, des mesures de protection secondaires telles que la prévention de l’accès physique sont cruciales. Une autre atténuation temporaire consiste à supprimer la clé de base de données du Framework via le BIOS.