Cerca de 200 mil computadores Linux da fabricante norte-americana Framework foram entregues com componentes legítimos da UEFI shell assinados, porém vulneráveis, que podem ser explorados para contornar as proteções do Secure Boot.
A falha permite que um atacante carregue bootkits — como BlackLotus, HybridPetya e Bootkitty — capazes de escapar das camadas de segurança do sistema operacional e persistir mesmo após reinstalações do OS.
Segundo a empresa de segurança de firmware Eclypsium, o problema está no uso do comando 'memory modify' (mm) presente nas UEFI shells assinadas fornecidas pela Framework com seus sistemas.
Esse comando concede acesso direto de leitura e escrita à memória do sistema, originalmente projetado para diagnósticos e depuração de baixo nível do firmware.
No entanto, ele pode ser usado para comprometer a cadeia de confiança do Secure Boot ao alterar a variável gSecurity2, elemento essencial na verificação das assinaturas dos módulos UEFI.
Ao sobrescrever o gSecurity2 com valor NULL, o comando mm desativa a verificação de assinatura, eliminando as proteções desse mecanismo.
"Esse comando escreve zeros no endereço de memória que contém o ponteiro do handler de segurança, desabilitando a verificação de assinatura para todos os módulos carregados posteriormente", explicam os pesquisadores.
Além disso, o ataque pode ser automatizado por meio de scripts de inicialização, garantindo persistência mesmo após reinicializações.
A Framework é uma empresa norte-americana reconhecida por produzir laptops e desktops modulares, projetados para fácil reparo.
Importante destacar que a presença do comando mm não resulta de um ataque ou comprometimento externo, mas de uma falha no processo interno de validação da fabricante.
Após a divulgação do problema, a Framework iniciou o desenvolvimento das correções.
A Eclypsium estima que os seguintes modelos foram afetados, indicando as versões de firmware corrigidas ou em atualização:
- Framework 13 (Intel 11ª geração): correção prevista na versão 3.24
- Framework 13 (Intel 12ª geração): corrigido na 3.18, atualização DBX prevista na 3.19
- Framework 13 (Intel 13ª geração): corrigido na 3.08, atualização DBX entregue na 3.09
- Framework 13 (Intel Core Ultra): corrigido na 3.06
- Framework 13 (AMD Ryzen 7040): corrigido na 3.16
- Framework 13 (AMD Ryzen AI 300): corrigido na 3.04, atualização DBX prevista na 3.05
- Framework 16 (AMD Ryzen 7040): corrigido na 3.06 beta, atualização DBX entregue na 3.07
- Framework Desktop (AMD Ryzen AI 300 MAX): corrigido na 3.01, atualização DBX prevista na 3.03
Usuários desses dispositivos devem aplicar imediatamente as atualizações de segurança disponíveis.
Enquanto o patch não estiver disponível, recomenda-se adotar medidas adicionais, como restringir o acesso físico ao equipamento.
Outra mitigação temporária possível é remover a chave DB da Framework diretamente pelo BIOS, reduzindo o risco até a aplicação definitiva do patch.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...