Les machines Framework sous Linux vulnérables : attention aux bootkits

Si vous disposez d’une machine Framework sous Linux, vous devriez lire cet article avec attention. Plus de 200 000 machines ont été livrées avec des composants UEFI vulnérables qui permettent de contourner le Secure Boot. Quels sont les risques ? Faisons le point.

Pour rappel, Framework est une marque américaine dont l’objectif est de proposer des ordinateurs portables qu’il est facile de personnaliser et de réparer.

Selon l’entreprise Eclypsium, le problème de sécurité est directement lié à la commande mm (pour « memory modify ») intégrée dans les shells UEFI signés que Framework a inclus dans ses ordinateurs sous Linux. Cette commande, conçue à l’origine pour le diagnostic et le débogage de bas niveau, offre un accès direct en lecture et écriture à la mémoire du système.

Ainsi, un attaquant pourrait détourner l’utilisation de cette commande pour cibler et écraser la variable gSecurity2, qui joue un rôle dans le processus de vérification des signatures des modules UEFI. En modifiant cette variable, un attaquant pourrait désactiver la vérification des signatures, et ainsi exécuter du code malveillant.

Eclypsium précise : « Une fois l’adresse identifiée, la commande mm peut écraser le pointeur du gestionnaire de sécurité avec NULL ou le rediriger vers une fonction qui renvoie toujours « succès » sans effectuer de vérification. »

Le risque : l’infection par un bootkit. En effet, un attaquant peut charger des malwares de type bootkits, comme BlackLotus ou HybridPetya. Ces logiciels malveillants ont la particularité de se lancer au démarrage de l’appareil, donc ils peuvent persister même après la réinstallation du système d’exploitation.

Quels sont les modèles impactés ?

Tout d’abord, évoquons la réaction de Framework : le fabricant de machines a confirmé qu’il s’agissait d’une erreur de conception et non d’une compromission. Une bonne nouvelle pour les utilisateurs. Selon les estimations d’Eclypsium, environ 200 000 ordinateurs Framework sous Linux sont concernés.

Voici la liste des modèles affectés et l’état des correctifs :

  • Framework 13 (11ème Gen Intel) : correctif prévu dans la version 3.24
  • Framework 13 (12ème Gen Intel) : corrigé en version 3.18, mise à jour DBX prévue en 3.19
  • Framework 13 (13ème Gen Intel) : corrigé en version 3.08, mise à jour DBX publiée en 3.09
  • Framework 13 (Intel Core Ultra) : corrigé en version 3.06
  • Framework 13 (AMD Ryzen 7040) : corrigé en version 3.16
  • Framework 13 (AMD Ryzen AI 300) : corrigé en version 3.04, mise à jour DBX prévue en 3.05
  • Framework 16 (AMD Ryzen 7040) : corrigé en version 3.06 (Beta), mise à jour DBX publiée en 3.07
  • Framework Desktop (AMD Ryzen AI 300 MAX) : corrigé en version 3.01, mise à jour DBX prévue en 3.03

Les utilisateurs sont invités à appliquer les mises à jour de sécurité dès qu’elles sont disponibles. « Pour les utilisateurs qui ont besoin de mesures correctives immédiates, vous pouvez vous référer à la documentation de Framework pour supprimer la clé DB de Framework à l’aide du menu de configuration du BIOS.« , peut-on lire dans le rapport d’Eclypsium.