コンテンツにスキップするには Enter キーを押してください

Gigabyte製マザーボードにSecure Bootを回避するUEFIマルウェアの脆弱性

投稿日 2025年7月15日

Image

数十種類のGigabyte製マザーボードモデルが、OSからは見えず、再インストールしても生き残るブートキット型マルウェアを仕込むことができるUEFIファームウェアの脆弱性を抱えています。

この脆弱性により、ローカルまたはリモートの管理者権限を持つ攻撃者が、オペレーティングシステム(OS)から隔離され、より高い特権を持つSystem Management Mode(SMM)で任意のコードを実行できる可能性があります。

OSより下のレイヤーで動作する仕組みは、低レベルのハードウェアアクセスが可能で、起動時に実行されます。そのため、この環境でのマルウェアは、従来のセキュリティ対策を回避することができます。

UEFI(Unified Extensible Firmware Interface)ファームウェアは、Secure Boot機能により、暗号学的な検証を通じて、起動時に安全で信頼できるコードのみを使用することを保証するため、より安全とされています。

このため、UEFIレベルのマルウェア(ブートキット)、例えばBlackLotusCosmicStrandMosaicAggressorMoonBounceLoJaxなどは、毎回の起動時に悪意のあるコードを展開できます。

多数のマザーボードが影響を受ける

これら4つの脆弱性はGigabyteのファームウェア実装に存在し、ファームウェアセキュリティ企業Binarlyの研究者によって発見され、カーネギーメロン大学のCERT Coordination Center(CERT/CC)に報告されました。

元のファームウェアサプライヤーはAmerican Megatrends Inc.(AMI)であり、非公開での開示後に問題に対応しましたが、一部のOEMファームウェア(例:Gigabyte製)はその時点で修正を実装していませんでした。

Gigabyteのファームウェア実装において、Binarlyは以下の脆弱性を発見しました。いずれも深刻度スコア8.2の高リスクです:

  • CVE-2025-7029:SMIハンドラ(OverClockSmiHandler)のバグにより、SMM権限昇格が可能
  • CVE-2025-7028:SMIハンドラ(SmiFlash)のバグにより、System Management RAM(SMRAM)への読み書きが可能となり、マルウェアのインストールにつながる
  • CVE-2025-7027:SMM権限昇格および任意の内容を書き込むことでファームウェアの改ざんが可能
  • CVE-2025-7026:SMRAMへの任意書き込みが可能で、SMMへの権限昇格や永続的なファームウェアの侵害につながる

弊社の集計によると、影響を受けるマザーボードモデルは240種類以上(リビジョン、バリエーション、地域限定版を含む)で、ファームウェアは2023年末から2024年8月中旬までに更新されています。ただし、BleepingComputerは公式な数をBinarlyに問い合わせており、正確な数字が分かり次第この記事を更新します。

Binarlyの研究者は4月15日にカーネギーメロンCERT/CCに問題を通知し、Gigabyteは6月12日に脆弱性を確認、その後ファームウェアアップデートをリリースしたとCERT/CCは伝えています。

しかし、OEMはBinarlyが報告したセキュリティ問題についてのセキュリティ情報を公開していません。BleepingComputerはハードウェアベンダーにコメントを求めてメールしましたが、まだ返答はありません。

一方、Binarlyの創設者兼CEOであるAlex Matrosov氏は、Gigabyteが修正をリリースしていない可能性が高いとBleepingComputerに語っています。多くの製品がすでにサポート終了となっているため、ユーザーはセキュリティアップデートを受け取ることを期待すべきではありません。

「これら4つの脆弱性はすべてAMIのリファレンスコードに起因しており、AMIはこれらの脆弱性をしばらく前にNDA下の有償顧客のみに静かに開示しました。その結果、長年にわたり下流ベンダーが脆弱なまま放置される重大な影響が生じました」- Alex Matrosov

「Gigabyteはまだ修正をリリースしていないようで、多くの影響を受けるデバイスはすでにサポート終了となっており、今後も無期限に脆弱なままである可能性が高いです。」

一般消費者にとってのリスクは低いものの、重要な環境にいる方は、BinarlyのRisk Huntスキャナーツールで特定のリスクを評価できます。このツールは4つの脆弱性の無料検出機能を含みます。

Gigabyte製マザーボードを使用する様々なOEMのコンピュータが脆弱な可能性があるため、ユーザーはファームウェアアップデートの有無を監視し、速やかに適用することが推奨されます。


Tines Needle

2025年における8つの一般的な脅威

クラウド攻撃がますます高度化している一方で、攻撃者は驚くほど単純な手法でも成功しています。

Wizが数千の組織で検知したデータに基づき、本レポートではクラウドに精通した脅威アクターが使用する8つの主要な手法を明らかにします。

翻訳元: https://www.bleepingcomputer.com/news/security/gigabyte-motherboards-vulnerable-to-uefi-malware-bypassing-secure-boot/

Published in bleepingcomputer.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です