複数のベンダーが署名したUEFIアプリケーションに影響を及ぼす脆弱性が最近公開され、UEFI禁止署名データベース(DBX)の更新が緊急に推奨されています。
VU#457458として追跡されるこの問題は、2026年6月18日にCERT/CCが公表したもので、信頼されたファームウェアコンポーネントに重大な脆弱性が存在することを明らかにしています。攻撃者がOSの起動前フェーズで任意のコードを実行し、プラットフォームのセキュリティを根底から損なう可能性があります。
脆弱なアプリケーションを標的とするUEFI DBXアップデート
この脆弱性は、UEFIシェルユーティリティやGRUB2モジュールを含む特定の署名済みUEFIアプリケーションにおける不適切な制御メカニズムに起因しています。これらのアプリケーションは、メモリ操作やNVRAM変更といった特権的な機能を保持しています。
通常、これらのアプリケーションはOEMベンダーによって署名され、UEFIセキュアブート認証済み署名データベース(DB)を通じて信頼されています。
しかしESETの研究者は、これらの信頼済みバイナリが「Bring Your Own Vulnerable Driver」(BYOVD)スタイルの攻撃に悪用される可能性があることを発見しました。これにより、攻撃者はオペレーティングシステムの初期化前に悪意あるコードを読み込んで実行できます。
セキュアブートは、システム起動時に検証済みの信頼されたコードのみが実行されるよう設計されており、ファームウェアが管理するデータベースに対する暗号署名の検証に依存しています。
しかし、正規の署名済みバイナリが悪用可能な機能を持つ場合、攻撃者は暗号的な信頼を破ることなくこれらの保護をバイパスできます。既存の信頼関係を利用するという手法上、このクラスの脆弱性は特に危険で検出も困難です。
影響を受けるアプリケーションは、Acer、AMD、ASUS、Gigabyte、Toshibaなど複数の主要ベンダーにわたります。脆弱なコンポーネントとして主に挙げられるのは、メモリやファームウェア変数に直接アクセスできる「mm」「dmpstore」「setvar」などの機能を公開しているUEFIシェルの実装です。
場合によっては、「insmod」などのGRUB2モジュールも影響を受けます。各脆弱バイナリは固有のAuthenticodeおよびSHA256ハッシュで識別されており、防御側は自社環境内での露出状況を追跡・確認することができます。
攻撃を成功させるには、管理者権限またはターゲットシステムへの物理的なアクセスが必要です。悪用に成功した場合、攻撃者はOSおよびセキュリティツールが初期化される前の起動初期フェーズでコードを実行できます。
これにより、未署名のカーネルモジュールの読み込みや、再起動はもちろんOSの再インストール後も生き残るステルスなブートキットの埋め込みといった、永続的な侵害技術が可能になります。この活動は従来のエンドポイント検出・対応(EDR)ソリューションの可視範囲外で行われるため、長期にわたる未検出の侵害リスクが大幅に高まります。
脅威を軽減するため、CERT/CCおよびセキュリティ研究者は、脆弱なアプリケーションを削除またはパッチ適用するファームウェアアップデートを影響を受けるベンダーから入手して適用することを推奨しています。
特に重要な点として、組織は特定された脆弱なバイナリの実行を明示的にブロックするため、UEFI DBX失効リストも更新しなければなりません。DBXを更新しない限り、他の対策を講じていても、システムはこれらの侵害されたコンポーネントを信頼し実行し続ける可能性があります。
今回の協調的な開示は、信頼関係が攻撃ベクターになり得るUEFIサプライチェーンのセキュリティ確保に伴う継続的な課題を浮き彫りにしています。
また、従来のセキュリティメカニズムの可視範囲外で動作するプリブート脅威に対する第一線の防御として、特にDBXアップデートを含むファームウェアセキュリティ制御を常に最新の状態に維持することの重要性を改めて強調しています。
翻訳元: https://gbhackers.com/uefi-dbx-update-guidance-targets-vulnerable-applications/
