Circa 200.000 computer prodotti dal costruttore americano Framework sono stati venduti con un difetto di sicurezza che mette a rischio uno dei pilastri della protezione informatica moderna: il sistema Secure Boot. La vulnerabilità, scoperta dall'azienda specializzata in sicurezza firmware Eclypsium, non deriva da un attacco informatico ma da una svista tecnica che ha conseguenze potenzialmente gravi per gli utenti che utilizzano questi dispositivi Linux.
Il problema tecnico è apparentemente banale ma le sue implicazioni sono tutt'altro che trascurabili. Framework ha infatti incluso nelle shell UEFI firmate digitalmente dei propri sistemi un comando chiamato 'memory modify' (mm), pensato originariamente per diagnostica a basso livello e debug del firmware. Questo strumento, perfettamente legittimo in fase di sviluppo, permette però di accedere direttamente alla memoria di sistema in modalità lettura e scrittura, aprendo una pericolosa falla di sicurezza.
La shell UEFI rappresenta un ambiente di pre-avvio del sistema operativo, una sorta di interfaccia a riga di comando che opera prima ancora che Windows o Linux vengano caricati. Quando questa shell contiene comandi potenti come mm e viene firmata digitalmente come componente affidabile, diventa uno strumento che gli attaccanti possono sfruttare per aggirare le protezioni Secure Boot senza bisogno di compromettere alcun certificato digitale.
Gli esperti di Eclypsium spiegano che il comando mm può essere utilizzato per manipolare una variabile critica chiamata gSecurity2, responsabile della verifica delle firme digitali dei moduli UEFI. Sovrascrivendo questa variabile con valori NULL, un malintenzionato può di fatto disattivare completamente il controllo delle firme per tutti i moduli successivamente caricati nel sistema. In alternativa, è possibile redirigere il puntatore verso una funzione che restituisce sempre un risultato positivo senza effettuare alcuna verifica reale.
Le conseguenze pratiche di questa vulnerabilità sono allarmanti. Una volta neutralizzato il meccanismo di verifica, diventa possibile installare bootkits particolarmente insidiosi come BlackLotus, HybridPetya e Bootkitty. Si tratta di software malevoli che operano a un livello così profondo del sistema da risultare invisibili ai normali strumenti di sicurezza del sistema operativo e che sopravvivono persino alla reinstallazione completa di Linux o Windows.
I ricercatori sottolineano inoltre che l'attacco può essere automatizzato attraverso script di avvio, garantendo la persistenza della compromissione anche dopo i riavvii del sistema. Questo trasforma una vulnerabilità teorica in una minaccia concreta e duratura per chi utilizza i computer Framework interessati dal problema.
Framework ha reagito prontamente alla segnalazione avviando un programma di correzione delle vulnerabilità. Le stime di Eclypsium indicano che il difetto interessa otto diverse linee di prodotti dell'azienda, dai modelli Framework 13 con processori Intel di undicesima generazione ai più recenti Framework Desktop con AMD Ryzen AI 300 MAX.
La situazione degli aggiornamenti di sicurezza varia significativamente tra i modelli. Alcuni dispositivi hanno già ricevuto le patch correttive: il Framework 13 con processore Intel Core Ultra è stato sistemato con la versione firmware 3.06, mentre il modello con AMD Ryzen 7040 ha ricevuto la correzione nella versione 3.16. Per altri modelli le soluzioni sono ancora in fase di sviluppo, come nel caso del Framework 13 di undicesima generazione Intel, per cui è prevista una correzione nella versione 3.24.
Framework sta inoltre distribuendo aggiornamenti DBX, una blacklist che impedisce l'esecuzione di componenti compromessi, per rafforzare ulteriormente la sicurezza dei sistemi già corretti. Alcuni modelli hanno già ricevuto questi aggiornamenti supplementari, mentre per altri sono previsti nelle prossime release del firmware.
Gli utenti che possiedono dispositivi Framework interessati dal problema dovrebbero verificare la versione del firmware installato e applicare gli aggiornamenti disponibili il prima possibile. Per chi utilizza modelli per cui non è ancora disponibile una patch ufficiale, gli esperti raccomandano misure di protezione alternative come impedire l'accesso fisico non autorizzato al computer. Una soluzione temporanea consiste nell'eliminare manualmente la chiave DB di Framework attraverso il BIOS, operazione che richiede competenze tecniche ma che può limitare i rischi fino all'arrivo dell'aggiornamento definitivo.