Поделиться
Сотни тысяч ноутбуков Framework на Linux содержат бэкдор
Более чем в двух сотнях тысяч компьютеров производства Framework была доступна отладочная команда уровня UEFI, которая позволяла обходить защиту Secure Boot. О злом умысле речи, по-видимому, не идёт.
Команда Мм
Более 200 тыс. компьютерных систем производства фирмы Framework (США) содержат проблемные компоненты UEFI, которые позволяют обойти защиту Secure Boot, утверждает фирма Eclypsium. Как следствие, на эти машины могут без проблем быть установлены буткиты, обнаружить которые на уровне операционной системы невозможно.
Как выяснили эксперты Eclypsium, суть проблемы заключается в поддержке команды memory modify (mm) в UEFI-оболочках систем Framework.
UEFI-оболочки представляют собой системные утилиты под управлением командной строки (аналогично консолям Command Prompt в Windows и bash в Linux), которые имеют прямой доступ к аппаратной части системы.
Команда mm в целом предназначена для диагностики и отладки низкоуровневых программных компонентов. Однако ею можно воспользоваться и для того, чтобы вывести из строя Secure Boot путём перезаписи переменной gSecurity2, которая играет критически важную роль в проверке сертификатов безопасности. Если заменить её значение на NULL, проверки всех последующих загружаемых модулей не происходит.
Исследователи также указали, что эта процедура может быть автоматизирована с помощью скриптов на этапе загрузки.
В Eclypsium заявили, что это бэкдор, снабжённый легитимной цифровой подписью, и что с его помощью злоумышленники могут внедрить в систему буткиты. В публикации фирмы прямо упоминаются такие вредоносы как BlackLotus, Bootkitty и HybridPetya.
Кроме того, в Сети открыто продаются средства обхода античитерских инструментов в видеоиграх, чья основная функциональность приходится как раз на уровень UEFI. Естественно, этим могут воспользоваться отнюдь не только читеры.
Машину сначала придётся украсть
Как следует из описания Eclypsium, атака потребует от злоумышленника сперва пронумеровать системные дескрипторы (это можно сделать с помощью утилиты dh) и выявить адрес в памяти, где хранится переменная gSecurity2 (что тоже является сугубо техническим вопросом). После этого дескриптор безопасности либо перезаписывается нулями, либо перенаправляется на функцию, которая всегда возвращает значение «Успешно».
Уязвимость присутствует в моделях Framework 13 на базе процессоров Intel 11-13 поколений, а также Intel Core Ultra. Затронуты также системы на базе AMD - Ryzen 7040, Ryzen AI 300, Ryzen AI 300 MAX. Сверх этого уязвимы модели Framework 16 и Framework Desktop.
«Присутствие команды mm не является результатом злого умысла, это лишь недосмотр со стороны вендора, хотя и недосмотр критического характера, - указывает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Стоит добавить, что для успешной эксплуатации этой уязвимости необходим доступ к UEFI-компонентам, а он возможен только при физическом контакте с системой. То есть, наиболее вероятный сценарий успешной эксплуатации этих уязвимостей подразумевает, что устройство сперва потеряют - или украдут».
Получив информацию о проблеме, Framework начал выпускать обновления безопасности, и для значительного числа моделей они уже доступны.
Если установка патча по каким-либо причинам невозможна, рекомендуется ограничить физический доступ к незащищённым машинам. В качестве ещё одной промежуточной меры предлагается удалить через BIOS идентификатор Framework DB.
Короткая ссылка
