Cerca de 200.000 computadores com Linux da fabricante americana Framework foram distribuídos com um componente de firmware UEFI assinado que pode ser explorado para contornar as proteções do Secure Boot. A descoberta, feita pela empresa de segurança de firmware Eclypsium, revela uma vulnerabilidade que abre a porta a ataques persistentes e difíceis de detetar.
Um atacante pode tirar partido desta falha para carregar bootkits (como o BlackLotus ou HybridPetya), que são capazes de iludir os controlos de segurança ao nível do sistema operativo e persistir mesmo após a reinstalação do mesmo.
O perigo escondido num comando de diagnóstico
O problema reside na inclusão de um comando de "modificação de memória" (mm) em shells UEFI legitimamente assinados, que a Framework incluiu nos seus sistemas. Este comando, destinado a diagnósticos de baixo nível e depuração de firmware, permite o acesso direto de leitura e escrita à memória do sistema.
No entanto, esta ferramenta poderosa pode ser utilizada de forma maliciosa para quebrar a cadeia de confiança do Secure Boot. O ataque foca-se na variável gSecurity2, um componente crítico no processo de verificação das assinaturas dos módulos UEFI. O comando mm pode ser abusado para sobrescrever esta variável com um valor nulo (NULL), desativando efetivamente a verificação de assinaturas.
"Assim que o endereço é identificado, o comando mm pode sobrescrever o ponteiro do gestor de segurança com NULL ou redirecioná-lo para uma função que devolve sempre 'sucesso' sem realizar qualquer verificação", explica a Eclypsium. Este processo pode ser automatizado através de scripts de arranque para persistir entre reinicializações do sistema.
Framework reage: quais os modelos afetados?
A Framework, conhecida por desenhar portáteis e desktops modulares e de fácil reparação, já começou a trabalhar para corrigir as vulnerabilidades. A presença do comando mm não é resultado de um ataque, mas sim de uma aparente supervisão.
A Eclypsium estima que cerca de 200.000 computadores Framework foram impactados. A empresa já começou a disponibilizar atualizações de firmware para os modelos afetados:
Framework 13 (11ª Gen Intel): Correção planeada na versão 3.24
Framework 13 (12ª Gen Intel): Corrigido na 3.18, atualização DBX planeada na 3.19
Framework 13 (13ª Gen Intel): Corrigido na 3.08, atualização DBX emitida na 3.09
Framework 13 (Intel Core Ultra): Corrigido na 3.06
Framework 13 (AMD Ryzen 7040): Corrigido na 3.16
Framework 13 (AMD Ryzen AI 300): Corrigido na 3.04, atualização DBX planeada na 3.05
Framework 16 (AMD Ryzen 7040): Corrigido na 3.06 (Beta), atualização DBX emitida na 3.07
Framework Desktop (AMD Ryzen AI 300 MAX): Corrigido na 3.01, atualização DBX planeada na 3.03
Aos utilizadores afetados, é recomendado que apliquem as atualizações de segurança assim que estiverem disponíveis. Para os sistemas onde uma correção ainda não foi lançada, medidas de proteção secundárias, como a prevenção do acesso físico ao equipamento, são cruciais. Como mitigação temporária, é também possível eliminar a chave DB da Framework através da BIOS.
Nenhum comentário
Seja o primeiro!