安全启动绕过风险威胁近 20 万台 Linux Framework 笔记本电脑

HackerNews 编译，转载请注明出处： 美国电脑制造商 Framework 生产的约 20 万台 Linux 电脑系统在出厂时附带了已签名的 UEFI 外壳组件，这些组件可能被利用来绕过安全启动保护。 攻击者可以利用这一漏洞加载引导工具包（如 BlackLotus、HybridPetya 和 Bootkitty），这些工具包可以规避操作系统级别的安全控制，并在操作系统重新安装后仍然存在。 强大的 mm 命令根据固件安全公司 Eclypsium 的说法，问题出在 Framework 随系统提供的合法签名的 UEFI 外壳中包含了一个 “内存修改”（mm）命令。 该命令提供对系统内存的直接读 / 写访问，旨在用于低级诊断和固件调试。然而，它也可以通过针对 gSecurity2 变量来破坏安全启动信任链，gSecurity2 变量是验证 UEFI 模块签名过程中的一个关键组件。 mm 命令可以被滥用，用 NULL 覆盖 gSecurity2，从而有效地禁用签名验证。 Eclypsium 表示：“一旦确定了地址，mm 命令就可以用 NULL 覆盖安全处理程序指针，或者将其重定向到一个总是返回‘成功’而不进行任何验证的函数。”“这个命令会将包含安全处理程序指针的内存位置写入零，从而有效地禁用所有后续模块加载的签名验证。” 研究人员还指出，这种攻击可以通过启动脚本自动化，以在重启后仍然存在。 约 20 万台受影响的系统Framework 是一家美国硬件公司，以设计模块化且易于维修的笔记本电脑和台式机而闻名。 危险的 mm 命令的存在并非是因为被攻击，而更像是一个疏忽。在得知这个问题后，Framework 开始着手修复这些漏洞。 Eclypsium 的研究人员估计，这个问题已经影响了大约 20 万台 Framework 电脑： Framework 13（第 11 代英特尔），计划在 3.24 版本中修复 Framework 13（第 12 代英特尔），已在 3.18 版本中修复，计划在 3.19 版本中进行 DBX 更新 Framework 13（第 13 代英特尔），已在 3.08 版本中修复，已在 3.09 版本中发布 DBX 更新 Framework 13（英特尔酷睿 Ultra），已在 3.06 版本中修复 Framework 13（AMD Ryzen 7040），已在 3.16 版本中修复 Framework 13（AMD Ryzen AI 300），已在 3.04 版本中修复，计划在 3.05 版本中进行 DBX 更新 Framework 16（AMD Ryzen 7040），已在 3.06（测试版）中修复，已在 3.07 版本中发布 DBX 更新 Framework 台式机（AMD Ryzen AI 300 MAX），已在 3.01 版本中修复，计划在 3.03 版本中进行 DBX 更新 建议受影响的用户应用可用的安全更新。在补丁尚未可用的情况下，防止物理访问等二级保护措施至关重要。另一个临时缓解措施是通过 BIOS 删除 Framework 的 DB 密钥。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文