コンテンツにスキップするには Enter キーを押してください

新しいLenovo UEFIファームウェアアップデートがSecure Bootバイパスの脆弱性を修正

投稿日 2025年7月30日

Image

Lenovoは、カスタマイズされたInsyde UEFIファームウェアを使用するオールインワンデスクトップにおいて、攻撃者がSecure Bootをバイパスできる高深刻度のBIOS脆弱性について警告しています。

影響が確認されているデバイスは、IdeaCentre AIO 3 24ARR9および27ARR9、Yoga AIO 27IAH10、32ILL10、32IRH8です。

UEFIは従来のPC BIOSの現代的な代替であり、コンピュータのハードウェアとOSの間のファームウェアインターフェースとして機能し、初期化や起動を制御します。

この脆弱性はBinarlyによって発見され、今月初めに研究者が発見した多数のGigabyteマザーボードモデルに影響を与えたものと類似しており、ローカル攻撃者がSystem Management Mode(SMM)で任意のコードを実行できるようになります。

SMMは、オペレーティングシステム(OS)やハイパーバイザーとは別のCPUモードであり、より高い特権(Ring-2)で低レベルで動作します。SMMの脆弱性を悪用することで、攻撃者は「検出不可能」なマルウェアを仕込むことができ、SecureBootなどのOSレベルのセキュリティ防御を回避できます。

InsydeH2Oは、OEMノートパソコンやデスクトップで最も広く展開されている商用UEFI BIOSフレームワークの一つです。

Insydeもまた、セキュリティ情報を公開し、これらの脆弱性はLenovoによるInsydeH2O UEFIファームウェアイメージへのOEM固有のカスタマイズに起因しており、InsydeH2O UEFIを使用するすべてのシステムに該当するわけではないと説明しています。

「新たに特定されたLenovoの脆弱性は、ソフトウェアサプライチェーン内の不整合に関連する繰り返し発生する課題から生じています」とBinarlyのAlex Matrosov氏はBleepingComputerにコメントしています。

「6つすべての脆弱性は、System Management Mode(SMM)レベルのコードで発見されました。これは、オペレーティングシステムよりも前に読み込まれ、再イメージ後も持続するファームウェアの不可視レイヤーであり、ステルスなインプラントやSecure Bootバイパスのための完璧な発射台となります。」

6つの脆弱性は以下の通りです:

  • CVE-2025-4421:SMIハンドラー(Callback7経由EfiSmiServices)のバグにより、検証されていないRSIレジスタを使用して攻撃者が制御するSMRAMアドレスへの書き込みが可能となり、SMM権限昇格および永続的なファームウェア侵害につながる(CVSSスコア:8.2)
  • CVE-2025-4422:SMIハンドラー(EfiSmiServices、gEfiSmmCpuProtocolおよびEfiPcdProtocol経由)のバグにより、SMMメモリ破損および権限昇格が発生する可能性(CVSSスコア:8.2)
  • CVE-2025-4423:SMIハンドラー(SetupAutomationSmm)のバグにより、SMMで任意のメモリ書き込みが可能となり、SMM権限昇格およびコード実行につながる(CVSSスコア:8.2)
  • CVE-2025-4424:SMIハンドラー(SetupAutomationSmm)における不適切な入力検証により、サニタイズされていないSmmSetVariable呼び出しが可能となり、ファームウェア設定の改ざんにつながる(CVSSスコア:6)
  • CVE-2025-4425:SMIハンドラー(SetupAutomationSmm)におけるスタックバッファオーバーフローにより、SMM権限昇格および任意コード実行が発生する可能性(CVSSスコア:8.2)
  • CVE-2025-4426:SMIハンドラー(SetupAutomationSmm)のバグによりSMRAM内容が漏洩し、機密情報の漏洩が可能となる(CVSSスコア:6)

Binarlyは2025年4月8日にこれらの脆弱性をLenovoに報告し、6月16日に同社から確認を受けました。90日間の情報公開猶予期間満了後、昨日、協調公開が行われました。

LenovoはIdeaCenter AIO 3モデル向けにファームウェアセキュリティアップデートをリリースしており、ユーザーにバージョンO6BKT1AAへのアップグレードを推奨しています。

Yoga AIO向けのアップデートは現時点では提供されていませんが、パソコンベンダーは2025年9月30日から11月30日の間に修正をリリースする予定です。


Wiz

CISOが実際に使うボードレポートデッキ

CISOは、クラウドセキュリティがビジネス価値をどのように高めるかを明確かつ戦略的に示すことが、取締役会の賛同を得る第一歩であると知っています。

この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティアップデートを有意義な会話と迅速な意思決定へと変えましょう。

翻訳元: https://www.bleepingcomputer.com/news/security/new-lenovo-uefi-firmware-updates-fix-secure-boot-bypass-flaws/

Published in bleepingcomputer.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です