Uma falha descoberta em cerca de 200 mil notebooks da fabricante norte-americana Framework pode permitir que invasores desativem o Secure Boot e instalem bootkits persistentes, comprometendo todo o sistema operacional. O problema foi identificado pela empresa de segurança Eclypsium, especializada em firmware e UEFI.
A vulnerabilidade está relacionada ao uso do comando “mm” (memory modify) em shells UEFI assinados pela própria Framework. Esse comando, criado para diagnósticos e depuração de firmware, permite leitura e escrita direta na memória do sistema. Na prática, ele pode ser explorado para modificar variáveis críticas, como a gSecurity2, responsável pela verificação de assinaturas de módulos UEFI. Ao sobrescrever essa variável com valores nulos, o invasor desativa o mecanismo de verificação de assinatura digital, abrindo caminho para a instalação de bootkits e rootkits capazes de sobreviver a reinstalações do sistema operacional. Entre os malwares que poderiam explorar essa brecha estão o BlackLotus e o HybridPetya, conhecidos por contornar mecanismos de segurança de firmware. Segundo a Eclypsium, a falha não foi resultado de um ataque direto, mas de um erro de design nos componentes UEFI distribuídos pela Framework.
A empresa já iniciou o processo de correção para todos os modelos afetados, incluindo os Framework 13 e Framework 16, que utilizam processadores Intel e AMD. As atualizações de firmware começaram a ser disponibilizadas gradualmente e devem corrigir a falha completamente até o final de outubro. Usuários também podem adotar medidas temporárias, como restringir acesso físico ao equipamento e remover a chave DB da Framework via BIOS, até que o patch definitivo esteja instalado. O Secure Boot é uma das principais camadas de defesa em sistemas modernos, responsável por garantir que apenas softwares autenticados sejam executados durante a inicialização. Quando comprometido, ele abre brecha para ataques invisíveis, permitindo que invasores assumam o controle total do dispositivo.
