Investigadores de Eclypsium descubrieron vulnerabilidades en shells UEFI firmados que permiten a atacantes evadir las protecciones de Secure Boot en más de 200,000 laptops y desktops Framework. Estas fallas permiten modificar componentes críticos durante el arranque, posibilitando la persistencia de malware indetectable a nivel de firmware. El riesgo surge de comandos legítimos pero peligrosos incluidos en herramientas firmadas por Microsoft y utilizadas para diagnóstico.
CVE y severidad
- CVE-2022-34302: Vulnerabilidad relacionada con UEFI Shells, con reportes previos de explotación.
- CVE-2024-7344: Vulnerabilidad reciente que afecta la cadena de confianza de Secure Boot en Framework.
Productos afectados
| Fabricante | Producto | Versiones afectadas | Estado parche |
|---|---|---|---|
| Framework | Framework 13, 11ª Gen Intel Core | BIOS vulnerable previo a 3.24 | Corrección planificada en 3.24 |
| Framework | Framework 13, 12ª Gen Intel Core | Vulnerable antes de 3.18 | Fix en 3.18; actualización 3.19 pendiente |
| Framework | Framework 13, 13ª Gen Intel Core | Vulnerable previo a 3.08 | Corregido en 3.08 / 3.09 |
| Framework | Framework 13, Intel Core Ultra Series 1 | Vulnerable antes de 3.06 | Corregido en 3.06 |
| Framework | Framework 13, AMD Ryzen 7040 Series | Vulnerable antes de 3.16 | Corregido en 3.16 |
| Framework | Framework 13, AMD Ryzen AI 300 Series | Vulnerable antes de 3.04 | Fix en 3.04; actualización 3.05 planificada |
| Framework | Framework 16, AMD Ryzen 7040 Series | Vulnerable antes de versiones beta 3.06/3.07 | Corregido en beta 3.06 y oficial en 3.07 |
| Framework | Framework Desktop, AMD Ryzen AI 300 MAX | Vulnerable antes de versiones 3.01/3.03 | Fix en 3.01; actualización 3.03 planificada |
Solución
Actualizar el BIOS a las versiones corregidas (por ejemplo, versiones 3.08 en adelante para la mayoría) y aplicar actualizaciones DBX para eliminar comandos inseguros en las UEFI shells.
Recomendaciones
Priorizar la aplicación inmediata de actualizaciones BIOS y listas de revocación DBX para mitigar este riesgo; revisar y eliminar claves inseguras mediante el menú de configuración; para entornos críticos, realizar escaneos de firmware y usar contraseñas de BIOS para fortalecer la protección.