Ryzyko obejścia Secure Boot zagraża prawie 200 000 laptopów z systemem Linux

przez

Analiza techniczna luki prowadzącej do obejścia funkcji Secure Boot na laptopach z systemem Linux Framework

W 2025 roku bezpieczeństwo funkcji UEFI Secure Boot, czyli Secure Boot, zostało naruszone przez lukę w zabezpieczeniach wykrytą na prawie 200 000 laptopów amerykańskiej marki Framework, znanego specjalisty w dziedzinie modułowych systemów Linux. Luka ta dotyczy legalnie podpisanego komponentu UEFI, który integruje polecenie „memory modify” (mm), zapewniając bezpośredni dostęp do odczytu i zapisu w pamięci systemowej.

Funkcja ta była pierwotnie używana do diagnostyki niskiego poziomu i debugowania oprogramowania układowego. Można ją jednak wykorzystać do modyfikacji zmiennej gSecurity2, kluczowego elementu weryfikującego podpisy modułów UEFI. Zastępując wskaźnik do tej zmiennej wartością NULL lub funkcją systematycznie zwracającą pozytywną walidację, atakujący może wyłączyć weryfikację podpisu cyfrowego, otwierając drzwi do nieautoryzowanego wykonania kodu podczas rozruchu. Ta manipulacja jest niebezpieczna, ponieważ narusza łańcuch zaufania UEFI Secure Boot, fundament bezpieczeństwa sprzętowo-programowego, który zapobiega wstrzyknięciu złośliwego oprogramowania, zanim system operacyjny, taki jak Ubuntu, Fedora czy Debian, przejmie kontrolę. Co więcej, atak ten można zautomatyzować za pomocą skryptu rozruchowego, co ułatwia jego utrwalenie nawet po ponownej instalacji systemu operacyjnego. Polecenie mm:Bezpośredni dostęp do pamięci w celach diagnostycznych. Zmienna gSecurity2: Kontroluje weryfikację podpisu UEFI.

Skutek:

  • Wyłączenie sprawdzania podpisu, co otwiera drogę do złośliwych bootkitów. Dotknięte maszyny:
  • Laptopy Framework, nowsze modele z różnymi generacjami procesorów Intel i AMD. Trwałość:
  • Trwałość poprzez automatyzację sekwencji rozruchowych. Ten przypadek stanowi rozwinięcie problemu zaobserwowanego już w innych architekturach, takich jak niektóre modele HP, Dell, Lenovo, ASUS, Acer i MSI, gdzie niedostateczna dbałość o bezpieczeństwo oprogramowania układowego umożliwiła różne obejścia funkcji Secure Boot, co ma również wpływ na popularne dystrybucje Linuksa.
  • Poznaj zagrożenia związane z włączeniem funkcji Secure Boot w Linuksie, jej wpływ na bezpieczeństwo, kompatybilność systemową oraz środki ostrożności, które należy podjąć, aby chronić środowisko IT. Przykłady bootkitów wykorzystujących tę lukę
  • Praktyczne konsekwencje tej luki są poważne, ponieważ umożliwiają one ładowanie bootkitów, takich jak BlackLotus

,

HybridPetya

lub

Bootkitty . Te złośliwe programy zostały zaprojektowane do działania na poziomie UEFI, co zapewnia im odporność na większość mechanizmów bezpieczeństwa systemu operacyjnego.Na przykład HybridPetya to zagrożenie, które łączy różne techniki obejścia zabezpieczeń znane z ransomware Petya i NotPetya, potrafiąc ominąć zabezpieczenia UEFI. Po zainstalowaniu może trwale zainfekować system Ubuntu lub Fedora, włączając się do procesu rozruchu przed załadowaniem jądra Linuksa. Te bootkity są również stale obecne na komputerze, co utrudnia ich wykrycie i usunięcie za pomocą tradycyjnych narzędzi antywirusowych lub czystej reinstalacji systemu. W związku z tym atak nie ogranicza się do pojedynczego kroku, ale może trwać pomimo tradycyjnych prób czyszczenia.BlackLotus: Trwały bootkit UEFI atakujący systemy Linux.HybridPetya:

Zaawansowane oprogramowanie ransomware, które omija Secure Boot.

Bootkitty:

  • Złośliwe oprogramowanie UEFI zdolne do niewykrywalnych modyfikacji oprogramowania układowego. Trwały:
  • Odporny na tradycyjne reinstalacje systemu. Wpływ:
  • Znacznie ogranicza możliwość bezpiecznego przywrócenia systemu. https://www.youtube.com/watch?v=_bY7MxD91P8
  • Mechanizmy bezpiecznego rozruchu UEFI i ich wpływ na dystrybucje Linuksa Aby zrozumieć konsekwencje tej wady, konieczne jest zapoznanie się z działaniem
  • Secure Boot , mechanizmu wprowadzonego wraz z Unified Extensible Firmware Interface (UEFI). Secure Boot weryfikuje, czy każdy komponent ładowany podczas rozruchu jest podpisany zatwierdzonym kluczem, co zapobiega uruchamianiu nieautoryzowanego i złośliwego oprogramowania.
W środowiskach Linux, szczególnie w głównych dystrybucjach, takich jak Debian, Ubuntu czy Fedora, Secure Boot często stanowi trudną do opanowania przeszkodę. Programiści i użytkownicy muszą posiadać zgodne koperty podpisów, aby móc wczytywać własne jądra lub moduły. W tym kontekście Framework i inni producenci integrują te podpisy z oprogramowaniem układowym, ale każda wada w łańcuchu zaufania, taka jak ta wywołana poleceniem mm, zagraża bezpieczeństwu całego systemu.

Proces przebiega następująco:

Podczas rozruchu oprogramowanie układowe UEFI weryfikuje podpis cyfrowy modułów ładujących i modułów, używając kluczy przechowywanych w swojej bezpiecznej bazie danych. Jeśli podpis jest prawidłowy, ładowanie jest kontynuowane. W przeciwnym razie blokada uniemożliwia uruchomienie niebezpiecznego oprogramowania. Jeśli kluczowa pamięć związana z tą weryfikacją, taka jak gSecurity2, zostanie zmieniona na NULL, ta walidacja zostanie wyłączona, co sprawi, że Bezpieczny Rozruch stanie się nieskuteczny.Partycja systemowa EFI (ESP):

Zawiera podpisane programy ładujące.

DB i DBX:

  1. Bazy danych zatwierdzonych i unieważnionych kluczy.
  2. Znaczenie dla systemu Linux:
  3. Do uruchomienia Bezpiecznego Rozruchu wymagane są podpisy.
  • Luka w zabezpieczeniach: Wyłączenie weryfikacji podpisów poprzez uszkodzenie pamięci.
  • Skutek: Możliwe wprowadzenie złośliwych modułów bez wykrycia.
  • Użytkownicy, którzy chcą eksperymentować z Linuksem lub wdrażać go bez narażania bezpieczeństwa, powinni rozważyć bezpieczne rozwiązania USB Multiboot, a nawet opanowane konfiguracje Dual Boot, szczególnie na komputerach z platformą Framework. Praktyczne poradniki, takie jak Linux USB Multiboot Solutions
  • i Microsoft Dual Boot Linux
  • są nieocenione w poruszaniu się po środowiskach mieszanych bez narażania bezpieczeństwa UEFI. Odkryj zagrożenia związane z włączeniem bezpiecznego rozruchu w Linuksie: zgodność, bezpieczeństwo i wpływ na instalację niektórych systemów lub sterowników.

Oprogramowanie układowe i rola podpisanych kluczy w kontekście Linuksa Klucze podpisu (DB) są niezbędnym elementem autoryzacji modułów Linuksa, takich jak jądro i GRUB, do uruchomienia w ramach bezpiecznego rozruchu. Jednak słabość w zarządzaniu oprogramowaniem układowym lub złamanie klucza może całkowicie unieważnić te zabezpieczenia. Regularne aktualizacje DB i DBX (unieważnionych kluczy) przez producenta, takiego jak Framework, są kluczowe. Na przykład, Framework zaplanował poprawki dla każdego dotkniętego problemem modelu, z aktualizacjami oprogramowania układowego od wersji 3.01 do 3.24, a także powiązanymi aktualizacjami bazy danych DBX w celu unieważnienia podatnych kluczy. Brak konserwacji może skutkować długotrwałym narażeniem na krytyczne zagrożenia. Aktualizacja oprogramowania układowego: Poprawki neutralizujące niebezpieczne polecenie mm. Aktualizacje DBX:

Unieważnienie zagrożonych kluczy.

Znaczenie:

Zapobiegaj wykorzystaniu luk przez uporczywe bootkity.

Modele, których dotyczy problem:

  • Framework 13 (Intel i AMD), Framework 16 i Desktop Ryzen AI. Szybkość działania:
  • Niezbędne do ograniczenia zakresu zagrożenia. https://www.youtube.com/watch?v=2Lrz5hsesVw
  • Jak skutecznie chronić system Linux Framework przed tą luką w zabezpieczeniach Secure Boot Szybkie wdrożenie aktualizacji Framework to pierwsza linia obrony przed tą luką. Dla tych, którzy nie mogą jeszcze skorzystać z poprawki, zaleca się kilka środków pośrednich:
  • Zapobieganie dostępowi fizycznemu: Ryzyko wzrasta, jeśli atakujący ma fizyczny dostęp do komputera.
  • Usunięcie podatnego klucza bazy danych: Tymczasowo usuń podatny klucz Framework za pomocą BIOS-u.
Tymczasowe wyłączenie bezpiecznego rozruchu:

Z tej opcji należy korzystać ostrożnie i tylko w kontrolowanych sytuacjach.

Monitorowanie oprogramowania układowego:

  • Regularnie monitoruj aktualizacje na oficjalnych kanałach Framework. W szerszym kontekście, weryfikacja i kontrolowanie użycia uprawnień za pomocą narzędzi Linux, takich jak
  • sudo, jest niezbędna, ponieważ atakujący z uprawnieniami administratora lokalnego może wykorzystać tę lukę, aby zakotwiczyć głęboką kompromitację. Administratorom i zaawansowanym użytkownikom zaleca się również testowanie nowych bezpiecznych obrazów Linuxa dla architektur ARM, takich jak Ubuntu na Snapdragonie
  • lub korzystanie z rozwiązań, które pozwalają wypróbować Linuksa bez zakłócania pracy systemu Windows
  • za pośrednictwem środowisk wirtualnych lub Live USB, ograniczając w ten sposób ryzyko bezpośredniego narażenia. Aktualizacja oprogramowania sprzętowego Framework:

Niezwłocznie stosuj oficjalne poprawki. Ograniczony dostęp fizyczny: Zabezpiecz sprzęt przed nieautoryzowanym dostępem.

Ścisłe zarządzanie kontem root: Ogranicz uprawnienia za pomocą sudo i innych narzędzi.Testuj bezpieczne środowiska Linux:Używaj najnowszych lub alternatywnych dystrybucji na żywo. Ciągły monitoring:

  • Bądź na bieżąco z lukami w zabezpieczeniach Framework i innych odtwarzaczy. Poznaj zagrożenia związane z włączeniem bezpiecznego rozruchu w systemie Linux: zgodność, bezpieczeństwo i wskazówki, jak chronić system, zapewniając jednocześnie optymalne wykorzystanie dystrybucji Linux.
  • Najlepsze praktyki unikania ataków UEFI w systemie Linux Luki w zabezpieczeniach oprogramowania układowego UEFI, choć rzadkie, mają istotny wpływ na ogólne bezpieczeństwo. Oto kilka wskazówek i najlepszych praktyk wzmacniających ochronę:
  • Używaj podpisanego i zweryfikowanego oprogramowania układowego: Zawsze wybieraj znane i regularnie aktualizowane modele.
  • Wdrażaj aktualizacje systemu i oprogramowania układowego: Nigdy nie ignoruj ​​krytycznych poprawek.
  • Prawidłowo skonfiguruj Bezpieczny rozruch: Upewnij się, że autoryzowana baza kluczy jest aktualna.
Ogranicz dostęp fizyczny i administracyjny:

Chroń dane uwierzytelniające administratora i sprzęt.

Używaj narzędzi do audytu systemu:

  • Sprawdź spójność oprogramowania układowego, na przykład za pomocą narzędzi open source zgodnych z systemem Linux. Unikaj nieprawidłowo skonfigurowanego podwójnego rozruchu:
  • Skorzystaj z niezawodnych poradników, takich jak ten samouczek dotyczący podwójnego rozruchu
  • . W świecie Linuksa, niezależnie od tego, czy chodzi o platformę Framework, czy inne marki, takie jak Dell, HP, Lenovo, ASUS, Acer i MSI, ważne jest przyjęcie proaktywnej polityki bezpieczeństwa w połączeniu ze stałym monitorowaniem technologicznym. Takie środki minimalizują ryzyko związane z atakami na oprogramowanie układowe i omijaniem funkcji Bezpieczny rozruch. https://www.youtube.com/watch?v=nS3mQm2O434