Clave maestra olvidada en UEFI: un descuido de los desarrolladores dejó 200.000 dispositivos desprotegidos
Solo hay una forma de protegerse: limitar el acceso físico a la computadora.
El fabricante estadounidense de portátiles modulares y sistemas de sobremesa Framework se enfrentó a un problema grave en el firmware UEFI que afectó a cerca de 200 000 dispositivos que ejecutan Linux. La vulnerabilidad permite eludir la protección Secure Boot y cargar componentes maliciosos antes del arranque del sistema operativo, incluidos tipos de bootkit como BlackLotus, HybridPetya y Bootkitty. Estos programas maliciosos pueden persistir incluso después de reinstalar el sistema operativo y eludir los mecanismos de protección integrados.
La causa fue el comando «mm» (memory modify), incluido en componentes firmados de la UEFI Shell que se suministraban con los dispositivos Framework. Aunque el comando estaba pensado originalmente para el diagnóstico y la depuración del firmware a bajo nivel, proporciona acceso directo a la memoria del sistema. Esto puede aprovecharse para modificar el contenido de la variable crítica gSecurity2, responsable de la verificación de firmas digitales de los módulos que se cargan.
Al sustituir el puntero del manejador de seguridad por nulo o redirigirlo a una función que siempre devuelve éxito, un atacante puede desactivar por completo el mecanismo de verificación. Los especialistas de Eclypsium señalan que el ataque puede automatizarse mediante scripts de inicio automático, lo que permite mantener el acceso tras el reinicio.
Aunque el incidente no está relacionado con un ataque externo y parece ser un descuido en el proceso de desarrollo, sus consecuencias son muy graves. La lista de dispositivos afectados incluye distintas variantes de Framework 13 y Framework 16 basadas en procesadores Intel y AMD, así como soluciones de sobremesa de la compañía.
Las versiones más antiguas, como Framework 13 con procesadores Intel de 11.ª generación, recibirán la corrección solo en la versión de firmware 3.24. Para modelos más recientes, las actualizaciones ya están disponibles: la vulnerabilidad se corrigió en versiones desde la 3.01 hasta la 3.18, y además para algunas configuraciones están previstas actualizaciones de la lista DBX de claves bloqueadas. Esto permitirá evitar la carga de componentes firmados pero inseguros.
Framework ya comenzó a distribuir actualizaciones para sus sistemas; sin embargo, a los usuarios cuyos dispositivos aún no han recibido las correcciones se les recomienda adoptar medidas temporales de protección. En particular, es importante limitar el acceso físico al equipo, y también se puede eliminar manualmente la clave DB de la compañía a través de la BIOS: esto romperá la cadena de confianza de Secure Boot para los componentes vulnerables, pero ayudará a evitar una compromisión en la fase de arranque.