Bombshell per Framework: come una shell UEFI firmata può disabilitare Secure Boot

Framework è un produttore statunitense di laptop e desktop noto per la modularità e la riparabilità dei suoi dispositivi. I prodotti Framework permettono agli utenti di sostituire facilmente CPU, RAM, storage, tastiere e persino schede madri senza ricorrere a riparazioni complesse. Tuttavia, i ricercatori di Eclypsium hanno scoperto che alcune immagini della UEFI Shell firmate e distribuite da Framework per modelli pensati per utenti Linux contengono un comando mm (memory modify) in grado di sovrascrivere la struttura di verifica delle firme digitali.

Sfruttando la shell firmata e un apposito file posizionato nella EFI System Partition (ESP), un attaccante può automatizzare la cancellazione del controllo delle firme e caricare bootkit persistenti: si pensi ai vari BlackLotus, HybridPetya, Bootkitty. Framework ha rilasciato aggiornamenti firmware e revoche DBX per i modelli colpiti: gli utenti devono applicarli urgentemente e, dove non ancora disponibili, mettere in atto contromisure temporanee.

Perché la falla è pericolosa: riguarda 200.000 computer Framework

Secure Boot è pensato per stabilire una “catena di fiducia” dal firmware fino al kernel del sistema operativo, permettendo il caricamento esclusivo di componenti firmati e autorizzati all’avvio del sistema.

Se un componente pre‑boot già firmato fornisce un meccanismo che può modificare la memoria fisica, quell’accesso può essere usato per disattivare la verifica delle firme a valle, rendendo possibile l’installazione di bootkit in grado di nascondersi e di sopravvivere addirittura a una reinstallazione completa del sistema operativo.

L’approccio descritto è molto simile a quello utilizzato da HybridPetya per aggredire i PC e installarsi all’avvio della macchina. Nel caso di Framework, Eclypsium stima che siano circa 200.000 i computer interessati dal problema insito nella UEFI Shell, basati sia su chip Intel che AMD.

Sistemi colpiti e stato degli aggiornamenti

I modelli Framework coinvolti includono vari laptop e desktop. Alcuni aggiornamenti rilasciati o pianificati dall’azienda includono i seguenti prodotti:

• Framework 13 (11a Gen Intel): fix previsto in 3.24
• Framework 13 (12a Gen Intel): fix 3.18, DBX update in 3.19
• Framework 13 (13a Gen Intel): fix 3.08, DBX update 3.09
• Framework 13 (Intel Core Ultra): fix 3.06
• Framework 13 (AMD Ryzen 7040/AI 300): fix 3.04‑3.16, DBX update 3.05
• Framework 16 (AMD Ryzen 7040): fix 3.06, DBX update 3.07
• Framework Desktop (AMD Ryzen AI 300 MAX): fix 3.01, DBX update 3.03

Gli utenti sono esortati ad aggiornare immediatamente il BIOS e il database di revoca DBX.

Contromisure e raccomandazioni pratiche

I possessori di sistemi Framework devono controllare la pagina di download firmware e aggiornare il BIOS all’ultima release segnalata per il proprio modello di computer, applicando anche eventuali DBX/KEK se forniti. È il modo canonico per rimuovere la Shell vulnerabile o revocare il certificato con cui essa era firmata.

Se una correzione non fosse ancora disponibile, è possibile rimuovere i permessi di scrittura non necessari sulla partizione EFI, monitorando e bloccando le modifiche sulla ESP.

Ha senso anche impostare una password nel BIOS in modo da impedire modifiche non autorizzate alla configurazione del firmware.