「UEFIセキュアブートの回避に新たな脆弱性は不要」―専門家が数十年前の…


  • ESETがMicrosoft署名済みの脆弱なUEFIシムブートローダー11件を発見。攻撃者はセキュアブートを回避し、悪意あるブートキットを展開可能
  • Microsoftの2011年サードパーティ証明書を信頼するあらゆるUEFIシステムが影響を受ける可能性があり、対象は数十億台規模に達する見込み。攻撃者は古い信頼済みシムを新しいシステムに持ち込むことが可能
  • Microsoftは脆弱なシムを失効済み。ユーザーは最新のUEFI失効リストを適用する必要がある(Windowsは自動更新、LinuxはLVFS経由)

ESETのサイバーセキュリティ専門家は、いずれもMicrosoftによって署名された脆弱なUEFIシムブートローダー11件を発見しました。これにより脅威アクターが数十年前の脆弱性を悪用し、UEFIセキュアブートを回避してあらゆる種類の悪意あるブートキットを展開できる状態になっていたということです。

シムとは、コンピュータのファームウェア(UEFI)とオペレーティングシステムのブートローダーとの橋渡し役を果たす小さな中間ブートローダーです。主な目的は、MicrosoftがすべてのLinuxブートローダーを個別に署名しなくても、オペレーティングシステムがUEFIセキュアブートに対応できるようにすることにあります。

Microsoft Corporation UEFI CA 2011というサードパーティのUEFI認証局(CA)証明書を信頼するUEFIベースのマシンであれば、オペレーティングシステムを問わず、これらのシム(バージョン0.9以前)に対して脆弱であるとされています。現代のx86 PCのほぼすべてがUEFIファームウェアを採用し、その大半が初期設定でMicrosoft Corporation UEFI CA 2011証明書を信頼していることから、潜在的に影響を受けるデバイスの数は数十億台に上るとみられます。

シムの失効措置

ESETはこの発見をCERT/CCに報告し、脆弱性のあるUEFIアプリケーションはすべて失効措置が取られました。

研究者らの説明によると、これらのシムはPC診断ソフトウェアやLinuxディストリビューション、その他のUEFIベースのユーティリティなど、さまざまなツール由来のものだといいます。さらに、攻撃者はMicrosoftのサードパーティUEFI証明書が登録されているあらゆるUEFIシステムに対して、自ら用意した脆弱なシムを持ち込めるため、当初は影響を受けないとされていたシステムであっても悪用が可能になると指摘しています。

脆弱なシムを無効化するには、Microsoftが提供する最新のUEFI失効リストを適用する必要があるとされています。Windowsシステムではほとんどの場合自動的に適用されますが、Linuxシステムのユーザーは、Linux Vendor Firmware Serviceを通じて自ら適用する必要があります。

「これらの古いシムが危険なのは、新たな脆弱性が理由ではありません。UEFIセキュアブートを回避するのに、新たな脆弱性そのものが不要だという点が問題なのです」と、脆弱なシムを発見したESETの研究者マーティン・スモラー(Martin Smolár)氏は述べています。

「攻撃者に複雑なエクスプロイトの手法は必要ありません。古く、いまだ信頼されたままで失効していないシムバイナリのコピーと、UEFIシムの仕組みに関する基本的な理解さえあれば十分です。それだけで、UEFIセキュアブートというきわめて重要なセキュリティ機能を回避できてしまいます」

翻訳元: https://www.techradar.com/pro/security/no-new-vulnerability-is-needed-to-bypass-uefi-secure-boot-experts-find-attackers-can-exploit-decades-old-flaws-to-gain-access-to-key-systems

ソース: techradar.com