Selon Eclypsium (billet de blog), des outils de diagnostic UEFI signés par Microsoft et utilisés sur des appareils Framework peuvent être détournés comme des backdoors signées, permettant de contourner Secure Boot et d’installer une persistance pré-OS tout en donnant l’illusion que la sécurité est active.
Les chercheurs expliquent que le cœur du problème réside dans la commande mm des shells UEFI signés, qui offre un accès direct en lecture/écriture à la mémoire système. En manipulant des composants du Security Architectural Protocol, un attaquant peut neutraliser la vérification de signature, puis charger des modules UEFI non signés. L’attaque peut être automatisée pour s’exécuter au démarrage, assurant un compromis persistant avant l’OS.
Impact et portée: environ 200 000 ordinateurs portables et de bureau Framework sont concernés, couvrant plusieurs gammes de produits. Cette technique est déjà observée dans l’écosystème des fournisseurs de cheats de jeux et pourrait intéresser des opérateurs de ransomware comme « HybridPetya ».
Mesures de remédiation proposées: mise à jour de la liste de révocation DBX pour blacklister les shells vulnérables et suppression des commandes dangereuses (comme mm) des versions futures des outils UEFI signés.
IOC et TTPs:
- IOC: non précisés dans l’article
- TTPs:
- Abus d’un shell UEFI signé pour contourner la chaîne de confiance Secure Boot
- Manipulation directe de la mémoire pour désactiver la vérification de signatures
- Chargement de modules UEFI non signés avec Secure Boot affiché comme « activé »
- Persistance pré-OS via automatisation au démarrage
Type d’article: publication de recherche décrivant une vulnérabilité et sa méthode d’exploitation, avec propositions de remédiation.
🔗 Source originale : https://eclypsium.com/blog/bombshell-the-signed-backdoor-hiding-in-plain-sight-on-framework-devices/