Amerikalı bilgisayar üreticisi Framework’ün yaklaşık 200.000 Linux bilgisayar sistemi, Güvenli Önyükleme korumalarını atlatmak için kullanılabilecek imzalı UEFI kabuk bileşenleriyle birlikte gönderildi.
Bir saldırgan, işletim sistemi düzeyindeki güvenlik kontrollerinden kaçabilen ve işletim sistemi yeniden yüklemelerinde varlığını sürdürebilen önyükleme kitlerini (örneğin BlackLotus, HybridPetya ve Bootkitty) yükleme avantajından yararlanabilir.
Güçlü mm emretmek
Ürün yazılımı güvenlik şirketi Eclypsium’a göre sorun, bir ‘bellek değişikliğinin’ dahil edilmesinden kaynaklanıyor (mm) Framework’ün sistemleriyle birlikte gönderdiği yasal olarak imzalanmış UEFI kabuklarında komut.
Komut, sistem belleğine doğrudan okuma/yazma erişimi sağlar ve düşük düzeyli tanılama ve ürün yazılımı hata ayıklaması için tasarlanmıştır. Ancak, UEFI modüllerinin imzalarını doğrulama sürecinde kritik bir bileşen olan gSecurity2 değişkenini hedefleyerek Güvenli Önyükleme güven zincirini kırmak için de kullanılabilir.
mm komutu, gSecurity2’nin üzerine NULL yazmak için kötüye kullanılabilir, bu da imza doğrulamasını etkili bir şekilde devre dışı bırakır.
“Adres tanımlandıktan sonra mm komutu, NULL ile güvenlik işleyicisi işaretçisinin üzerine yazabilir veya onu herhangi bir doğrulama gerçekleştirmeden her zaman “başarı” döndüren bir işleve yönlendirebilir,” – Eclypsium
“Bu komut, güvenlik işleyici işaretçisini içeren bellek konumuna sıfırlar yazar ve sonraki tüm modül yüklemeleri için imza doğrulamayı etkili bir şekilde devre dışı bırakır.”
Araştırmacılar ayrıca saldırının, yeniden başlatmalarda devam etmesi için başlangıç komut dosyaları aracılığıyla otomatikleştirilebileceğini de belirtiyor.
Yaklaşık 200.000 sistem etkilendi
Framework, modüler ve kolayca tamir edilebilir dizüstü ve masaüstü bilgisayarlar tasarlamasıyla tanınan ABD merkezli bir donanım şirketidir.
Riskli varlığı mm Komuta bir uzlaşmanın sonucu değil, daha çok bir gözetim gibi görünüyor. Sorunun öğrenilmesinin ardından Framework, güvenlik açıklarını gidermek için çalışmaya başladı.
Eclypsium araştırmacıları sorunun yaklaşık 200.000 Framework bilgisayarı etkilediğini tahmin ediyor:
- Çerçeve 13 (11. Nesil Intel), düzeltme 3.24’te planlandı
- Framework 13 (12. Nesil Intel), 3.18’de düzeltildi, DBX güncellemesi 3.19’da planlandı
- Framework 13 (13. Nesil Intel), 3.08’de düzeltildi, DBX güncellemesi 3.09’da yayınlandı
- Çerçeve 13 (Intel Core Ultra), 3.06’da düzeltildi
- Çerçeve 13 (AMD Ryzen 7040), 3.16’da düzeltildi
- Framework 13 (AMD Ryzen AI 300), 3.04’te düzeltildi, DBX güncellemesi 3.05’te planlandı
- Framework 16 (AMD Ryzen 7040), 3.06’da (Beta) düzeltildi, DBX güncellemesi 3.07’de yayınlandı
- Çerçeve Masaüstü (AMD Ryzen AI 300 MAX), 3.01’de düzeltildi, DBX güncellemesi 3.03’te planlandı
Etkilenen kullanıcıların mevcut güvenlik güncellemelerini uygulamaları önerilir. Henüz bir yamanın mevcut olmadığı durumlarda, fiziksel erişimin engellenmesi gibi ikincil koruma önlemleri hayati önem taşıyor. Diğer bir geçici çözüm ise Framework’ün DB anahtarının BIOS aracılığıyla silinmesidir.
Katılın İhlal ve Saldırı Simülasyon Zirvesi ve deneyimleyin güvenlik doğrulamanın geleceği. En iyi uzmanlardan bilgi alın ve nasıl olduğunu görün Yapay zeka destekli BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın