Una nuova analisi condotta da Eclypsium ha portato alla luce una vulnerabilità critica nei dispositivi Framework, dove UEFI shell firmate digitalmente risultano in grado di bypassare il meccanismo Secure Boot, aprendo la strada a bootkit e rootkit persistenti. Il problema, nascosto in strumenti diagnostici legittimi distribuiti con certificati firmati da Microsoft, consente agli attaccanti di modificare la memoria in fase di avvio e disabilitare i controlli di sicurezza del firmware. Secondo Eclypsium, la falla espone circa 200.000 laptop e desktop Framework con architetture Intel e AMD, dai modelli Framework 13 (11ª–13ª generazione Intel Core e Ryzen 7040 Series) fino ai Framework 16 e Desktop Ryzen AI 300 MAX. L’impatto è classificato come alto rischio, poiché la manipolazione avviene prima del caricamento del sistema operativo, in un ambiente privo delle protezioni moderne come ASLR o DEP.
Cosa leggere
Cos’è la UEFI shell e perché rappresenta un rischio
La UEFI shell è un ambiente di comando pre-OS, paragonabile a una versione firmware del Prompt dei comandi di Windows o della bash di Linux, che consente di interagire direttamente con l’hardware a basso livello. Normalmente serve per attività legittime — come diagnostica, aggiornamenti firmware o sviluppo driver — ma proprio questi privilegi elevati la rendono un obiettivo ideale. Eclypsium spiega che il problema nasce da una eccessiva fiducia concessa tramite Secure Boot: le shell firmate, considerate attendibili dal sistema, contengono il comando mm che permette lettura e scrittura diretta della memoria fisica. Usandolo, un attaccante può sovrascrivere variabili di sicurezza fondamentali e disabilitare la verifica delle firme digitali dei moduli successivi, pur mantenendo la percezione che Secure Boot sia ancora attivo. In pratica, il comando mm indirizzo_target 0x00000000 -w 8 -MEM può annullare i controlli di integrità del firmware, consentendo il caricamento di componenti UEFI arbitrari non firmati, inclusi bootkit persistenti o strumenti di spionaggio pre-OS.
Come funziona il bypass Secure Boot
I test condotti da Eclypsium mostrano che il comando mm consente di modificare in tempo reale la variabile gSecurity2, responsabile della validazione dei moduli caricati durante l’avvio. Sovrascrivendo questo puntatore con un valore nullo, la shell disattiva l’intero protocollo di sicurezza, consentendo di eseguire codice malevolo con privilegi di firmware. L’attacco può essere automatizzato tramite script startup.nsh, eseguiti automaticamente a ogni riavvio, garantendo persistenza invisibile anche dopo reinstallazioni del sistema operativo. Poiché la shell è firmata e considerata attendibile, i controlli Secure Boot non la bloccano, permettendo a un attore malevolo di agire indisturbato prima dell’avvio del kernel.
Analisi e dispositivi colpiti
Eclypsium ha verificato la validità dei certificati Microsoft presenti nelle shell Framework tramite sbverify, confermando che si tratta di file autenticati e autorizzati. I ricercatori hanno riprodotto l’attacco in ambienti QEMU e su hardware reale, dimostrando la possibilità di bypassare completamente Secure Boot e iniettare codice non firmato.
I modelli vulnerabili includono:
- Framework 13 Intel Core 11ª, 12ª e 13ª generazione
- Framework 13 e 16 con AMD Ryzen 7040 e Ryzen AI 300 Series
- Framework Desktop Ryzen AI 300 MAX Series
In totale, circa 200.000 dispositivi risultano esposti. Framework ha collaborato con Eclypsium per rimuovere i comandi pericolosi dalle shell diagnostiche e rilasciare BIOS aggiornati con versioni UEFI limitate.
Implicazioni e abusi reali
Eclypsium segnala che vulnerabilità di questo tipo non restano confinate alla teoria. Sono già emersi casi in cui tool firmati Microsoft vengono sfruttati da operatori ransomware e gruppi APT per ottenere persistenza pre-OS. Alcuni cheat commerciali per videogiochi vendono addirittura bypass UEFI basati su exploit simili, con abbonamenti mensili fino a 40 euro. Tra i precedenti noti figurano le vulnerabilità CVE-2022-34302, CVE-2023-48733 e CVE-2024-7344, che hanno interessato bootloader e shell UEFI in distribuzioni Linux e Windows, utilizzati da malware come BlackLotus e HybridPetya per infiltrarsi sotto il sistema operativo mantenendo l’apparenza di Secure Boot attivo.
Remediation e raccomandazioni
Framework ha già avviato il rilascio di aggiornamenti firmware correttivi, rimuovendo i comandi di manipolazione memoria e aggiornando il database DBX di Secure Boot per blacklistare le shell vulnerabili. Gli utenti possono verificare la presenza della patch accedendo al BIOS e eliminando manualmente la chiave DB Framework, seguendo la documentazione ufficiale.
Eclypsium raccomanda inoltre di:
- Installare subito gli aggiornamenti firmware Framework più recenti;
- Disabilitare la UEFI shell se non necessaria;
- Eseguire audit regolari dei certificati Secure Boot;
- Monitorare eventuali modifiche anomale nella fase di boot;
- Effettuare backup delle partizioni di avvio sicure per prevenire compromissioni.
La vulnerabilità, benché scoperta in dispositivi Framework, mette in luce un problema più ampio: la fiducia cieca nei componenti firmati, che possono celare backdoor operative nel firmware. Eclypsium invita tutti i produttori a rivalutare le policy di firma UEFI e a implementare controlli di sicurezza più rigidi nei tool diagnostici preinstallati.
