Переустановили Linux? Буткит остался — Framework оставила дыру на уровне прошивки для 200 000 систем

leer en español

Linux Framework Secure Boot UEFI Eclypsium буткиты уязвимость
Переустановили Linux? Буткит остался — Framework оставила дыру на уровне прошивки для 200 000 систем
Linux Framework Secure Boot UEFI Eclypsium буткиты уязвимость

Единственный способ защититься — физически ограничить доступ к компьютеру.

image

Американский производитель модульных ноутбуков и настольных систем Framework столкнулся с серьёзной проблемой в прошивке UEFI, которая затронула около 200 тысяч устройств под управлением Linux. Уязвимость позволяет обойти защиту Secure Boot и загружать вредоносные компоненты ещё до запуска операционной системы, включая такие типы буткитов, как BlackLotus, HybridPetya и Bootkitty. Эти вредоносные программы способны сохраняться даже после переустановки ОС и обходить встроенные механизмы защиты.

Причиной сбоя стала команда «mm» (memory modify), включённая в подписанные компоненты UEFI Shell, поставлявшиеся вместе с устройствами Framework. Хотя команда изначально предназначена для диагностики и отладки прошивки на низком уровне, она предоставляет прямой доступ к памяти системы. Этим можно воспользоваться, чтобы изменить содержимое критически важной переменной gSecurity2, отвечающей за проверку цифровых подписей загружаемых модулей.

Подменив указатель обработчика безопасности на нулевой или перенаправив его на функцию, всегда возвращающую успешный результат, злоумышленник может полностью отключить механизм верификации. Специалисты компании Eclypsium подчёркивают, что атака может быть автоматизирована через скрипты автозапуска, позволяя сохранять доступ после перезагрузки.

Хотя инцидент не связан с внешней атакой и выглядит как упущение в процессе разработки, его последствия крайне серьёзны. В список затронутых устройств попали разные модификации Framework 13 и Framework 16 на базе процессоров Intel и AMD, а также стационарные решения компании.

Наиболее старые версии, вроде Framework 13 с 11‑м поколением Intel, получат исправление только в релизе прошивки 3.24. Для более новых моделей обновления уже доступны: уязвимость устранялась начиная с версий 3.01 до 3.18, при этом для части конфигураций дополнительно запланированы обновления списка заблокированных ключей DBX. Это позволит исключить возможность загрузки подписанных, но небезопасных компонентов.

Framework уже начала выпускать обновления для своих систем, однако пользователям, чьи устройства пока не получили исправлений, рекомендуется принять временные меры защиты. В частности, важно ограничить физический доступ к компьютеру, а также можно вручную удалить DB-ключ компании через BIOS — это нарушит доверительную цепочку Secure Boot для уязвимых компонентов, но поможет избежать компрометации на этапе загрузки.