UEFI ファームウェアで発見された 23件の脆弱性:ハードウェア・ベンダー 25社に影響

UEFI firmware vulnerabilities affect at least 25 computer vendors

2022/02/02 BleepingComputer — ファームウェア・プロテクション企業である Binarly の研究者たちは、Fujitsu/Intel/AMD/Lenovo/Dell/ASUS/HP/Siemens/Microsoft/Acer などの、複数のコンピュータ・ベンダーが採用している InsydeH2O の UEFI ファームウェアに、深刻な脆弱性が存在することを発見した。

UEFI (Unified Extensible Firmware Interface) ソフトウェアとは、デバイスのファームウェアとオペレーティング・システムの間のインターフェースであり、起動プロセス/システム診断/修復機能などに対応する。

Binarly は、InsydeH2O の UEFI ファームウェアに、合計で23件の欠陥を発見した。その大半は、電源管理やハードウェア制御などの、システム全体の機能を提供するソフトウェアの SMM (System Management Mode) に存在する。SMM の権限は OS カーネルの権限を超えているため、この領域にセキュリティ上の問題があると、システムに脆弱性が生じ深刻な影響をおよぼす可能性がでてくる。

具体的には、管理者権限を持つローカル/リモートの攻撃者が、SMM の欠陥を悪用して以下の処理を行う可能性がある。

  • 多くのハードウェア・セキュリティ機能 (SecureBoot/Intel BootGuard) の無効化
  • 簡単には消去できない永続的なソフトウェアのインストール
  • 機密データを盗むためのバックドアや裏通信チャネルの作成

    この 23件の欠陥は、以下のような CVE で追跡されている。

    CVE-2020-27339/CVE-2020-5953/CVE-2021-336625/CVE-2021-33626/CVE-2021-33627/CVE-2021-41837/CVE-2021-41838/CVE-2021-41839/CVE-2021-41840/CVE-2021-41841/CVE-2021-42059/CVE-2021-42060。CVE-2021-42113/CVE-2021-42554/CVE-2021-43323/CVE-2021-43522/CVE-2021-43615/CVE-2021-45969/CVE-2021-45970/CVE-2021-45971/CVE-2022-24030/CVE-2022-24031/CVE-2022-24069

    上記のうち、SMM の CVE-2021-45969/CVE-2021-45970/CVE-2021-45971 は、深刻度を示す CVSS 値が 9.8 と評価されている。

    発見された脆弱性のうち10件は、特権昇格に悪用される可能性があり、また、12件は SMM におけるメモリ破壊の欠陥、1件は InsydeH2O の Driver eXecution Environment (DXE) におけるメモリ破壊の脆弱性となる。

    Binarly は、「今回の問題の根本原因は、InsydeH2O のファームウェア・フレームワーク・コードに関連するリファレンス・コードにある。前述のすべてのベンダーは、Insyde ベースのファームウェア SDK を使用して、UEFI ファームウェアの一部を開発していた。現時点で、米国の CERT CC は、InsydeH2O ファームウェアで発見されたセキュリティ問題の影響が、ベンダー3社に影響していることを確認している。それらは、Fujitsu/Insyde Software Corporation/Intel であり、Intel の場合は CVE-2020-5953 のみが関連する」と述べている

問題への対応

Insyde Software は、すべてのセキュリティ脆弱性を修正するファームウェア・アップデートをリリースし、すべての欠陥対する深刻度と詳細な説明を公開した。しかし、これらのセキュリティ・アップデートは、OEM 経由で製品に適用される必要がある。これらのセキュリティ・アップデートがエンドユーザーに届くまでには、相当な時間が必要となる。また、サポートが終了している機器や、パッチの準備が整う前に旧式化してしまう機器もあるため、すべての製品ですべての問題に対処できるとは限らない。

この記事を執筆している時点では、Fujitsu/Insyde Software Corporation/Intel のみが欠陥の影響を受けていることが確認され、また、Rockwell/Supermicro/Toshiba には影響が生じていないことも確認されている。ただし、その他のベンダーに関しては調査中である。脆弱性の報告を受けた際の迅速な対応と、正しいスコープ設定を支援するための実践的なアプローチについて、Binarly は Fujitsu の Incident Response Team を評価している。

使用中のシステムにおける、上記の欠陥に関するスキャンを実施する場合には、GitHub で公開されている、Binarly の検出支援 FwHunt ルールが有効となる。

UEFI (Unified Extensible Firmware Interface) に関する記事としては、2021年11月の「Intel の脆弱性 CVE-2021-0146 は Note PC から IoT にまで影響をおよぼす」や、12月の「Dell 製ドライバーに存在し続ける Windows Kernel レベル攻撃の脆弱性」などがあります。また、つい先日に「ファームウェア・ベース Rootkit の危険性:MoonBounce を含む3つのマルウェアとは?」という記事もアップしています。ここも、ソフトウェア・サプライチェーンなので、修正には時間がかかりますね。

%d bloggers like this: