漏洞发现与影响范围
固件安全公司Eclypsium(Eclypsium)发现,约20万台运行Linux系统的Framework(Framework)笔记本电脑和台式机存在严重安全漏洞。这些设备搭载的统一可扩展固件接口(UEFI)允许内存读写访问,可能被用来破坏安全启动功能。该公司指出,这种安全隐患并非Framework独有问题。
漏洞技术细节
UEFI shell是一个在操作系统启动前加载的命令行环境,用于执行系统诊断和固件更新等操作。在启动过程中,系统会验证UEFI应用程序是否具有微软的数字签名,只有经过签名的程序才能被信任和执行。
问题出在UEFI shell中的"mm"(内存修改)命令。该命令虽然是用于系统诊断的合法工具,但也可能被恶意利用。攻击者可以通过以下步骤绕过系统安全保护:
- 识别目标变量(gSecurity2)
- 定位变量内存地址
- 使用mm命令修改安全处理程序
- 加载未经验证的代码
- 建立持久化后门
安全隐患与应对措施
Eclypsium已将这一发现告知Framework公司,后者正在着手修复这些漏洞。考虑到这个问题可能影响所有允许执行"mm"命令的UEFI shell,安全专家建议需要重新审视当前的安全认证机制。
仅依赖数字签名的信任机制存在根本性缺陷,因为签名可能被应用于具有潜在危险功能的组件。继续认为"已签名即安全"的组织可能会在不断演变的安全威胁中处于不利地位。
用户在等待厂商发布修复补丁的同时,建议密切关注Framework等公司发布的BIOS更新信息。