Zraniteľnosť v UEFI modulárnych počítačov Framework umožňuje inštaláciu bootkitov

Výrobca modulárnych notebookov a desktopov Framework vydal bezpečnostné aktualizácie firmvéru svojich produktov, ktoré opravujú zraniteľnosť zneužiteľnú na inštaláciu bootkitov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

  • Framework 13 (11th Gen Intel) s firmvérom vo verzii staršej ako 3.24 (výrobca pracuje na aktualizácii)
  • Framework 13 (12th Gen Intel) s firmvérom vo verzii staršej ako 3.18 (3.19 pre verziu s DBX)
  • Framework 13 (13th Gen Intel) s firmvérom vo verzii staršej ako 3.08
  • Framework 13 (Intel Core Ultra) s firmvérom vo verzii staršej ako 3.06
  • Framework 13 (AMD Ryzen 7040) s firmvérom vo verzii staršej ako 3.16
  • Framework 13 (AMD Ryzen AI 300) s firmvérom vo verzii staršej ako 3.04 (3.05 pre verziu s DBX)
  • Framework 16 (AMD Ryzen 7040) s firmvérom vo verzii staršej ako 3.06 (Beta) (3.07 pre verziu s DBX)
  • Framework Desktop (AMD Ryzen AI 300 MAX) s firmvérom vo verzii staršej ako 3.01 (3.03 pre verziu s DBX)

Opis zraniteľnosti:

CVE identifikátor nebol pridelený (CVSSv3.1 skóre 7,1)

Zraniteľnosť firmvéru spočíva v možnosti prístupu k diagnostickému a debugovaciemu príkazu mm (memory modify), ktorý poskytuje priamy prístup k systémovej pamäti umožňujúci čítanie a zápis. Tento príkaz by útočník s fyzickým prístupom k zariadeniu mohol zneužiť na nastavenie premennej gSecurity2 na hodnotu NULL, čo by viedlo k deaktivácii mechanizmov overovania podpisov firmvéru (Secure Boot). Útočník by následne mohol vykonať modifikáciu firmvéru, inštaláciu bootkitovzískať tak úplnú kontrolu nad systémom.

Pozn.: Zraniteľnosť objavili bezpečnostní výskumníci zo spoločnosti Eclypsium, ktorá ju eviduje pod aliasom BombShell.

Možné škody:

  • Obídenie bezpečnostného prvku
  • Neoprávnená zmena v systéme
  • Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom odporúčame vykonať aktualizáciu firmvéru zariadení na verzie špecifikované v časti „Zraniteľné systémy“ tohto varovania. V prípade, že aktualizáciu nie je možné vykonať, odporúčame limitovať fyzický prístup k zariadeniu alebo odstránenie DB kľúča prostredníctvom BIOS.

Zdroje: