HP が 16 件の UEFI ファームウェア・バグに対応:永続的マルウェア埋め込みの可能性

HP patches 16 UEFI firmware bugs allowing stealthy malware infections

2022/03/08 BleepingComputer — セキュリティ・ソフトウェアで検出されないマルウェアをデバイスを感染させ、脅威アクターに高い特権を取得させる可能性のある、UEFI ファームウェアに存在する 16件の脆弱性を、HP が開示した。これらの脆弱性は、ノートパソコン/デスクトップパソコン/POS システム/エッジコンピューティング・ノードなどの、HP の複数の機種に影響を与える。

一連の欠陥は、コンピュータ・ベンダー 25社に影響を与える UEFI の欠陥を、2022年2月に発表した Binarly の研究者が発見したものである。その数日後に、Binarly の 創設者が OffensiveCon において、 HP に影響を与える 5 つの新規 UEFI (Unified Extensible Firmware Interface) 脆弱性を発表し、それらに対処するセキュリティ更新プログラムを、HP はリリースしている。

今日、Binarly/HP/CERT/CC は、HPE UEFI ファームウェアに影響を及ぼす 11件の脆弱性を含む、新たに発見された脆弱性の一覧を公開した。これらの脆弱性は、悪用されるコンポーネント/機能に基づいて、3つのに分けられている。

SMM Callout (Privilege Escalation)

  • CVE-2021-39298: callout leading to privilege escalation (CVSS – 7.5)
  • CVE-2021-23932: callout leading to privilege escalation (CVSS – 8.2)
  • CVE-2021-23933: callout leading to privilege escalation (CVSS – 8.2)

SSM (System Management Module)

  • CVE-2021-23924: heap buffer overflow leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23925: memory corruption leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23926: memory corruption leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23927: memory corruption leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23928: memory corruption leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23929: memory corruption leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23930: heap buffer overflow leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23931: heap buffer overflow leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-23934: memory corruption leading to arbitrary code execution(CVSS – 8.2)

DXE (Driver eXecution Environment)

  • CVE-2021-39297: stack buffer overflow leading to arbitrary code execution (CVSS – 7.7)
  • CVE-2021-39299: stack buffer overflow leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-39300: stack overflow leading to arbitrary code execution (CVSS – 8.2)
  • CVE-2021-39301: stack overflow leading to arbitrary code execution (CVSS – 7.7)

    DXE と SSM は、OS が起動する前にアクティブになるため、これらのコンポーネントが悪用された場合には、カーネル OS の特権を超えたレベルで、すべての保護機能がバイパスされてしまう。
Impact of UEFI vulnerabilities
Impact of UEFI vulnerabilities
Source: Binarly

また、これらを悪用する有能な脅威アクターにとっては、OS アップデート/UEFI セキュアブート/Intel ブートガード/仮想化セキュリティ・ソリューションを回避する、永続的なファームウェア・マルウェアを埋め込む可能性が生じる。

Binarly の脆弱性レポートには、「すべての発見された脆弱性の積極的な悪用は、TPM (Trusted Platform Module) 測定の制限により、ファームウェアの完全性監視システムでは検出できない。また、ファームウェア・ランタイムの可視化には設計上の限界があるため、Remote Device Health Attestation ソリューションでは、影響を受けるシステムを対象とする検出ができない」と、記載されている。

さらに、「残念ながら、報告された脆弱性の大半は、繰り返し発生する障害である。その一部は、セキュリティの注意が払われていない、コードベースまたはレガシー・コンポーネントの複雑さによるものだが、この分野では依然として広く使用されている」と付け加えている。

ファームウェア・マルウェアは理屈上のものではなく、過去においては国家に支援されるハッキング・グループが、MoonBounce/ESPecter/FinSpy ローダーなどの UEFI マルウェアを展開したことが報告されている。現時点において、このセキュリティ・リスクに対処する唯一の方法は、HP の BIOS アップグレード・ポータルで、利用可能なファームウェア・アップデートを適用するか、この指示に従うことになる。

より広範なサプライチェーンの問題

欠陥の1つである CVE-2021-39298 は、AMD のリファレンス・コードの脆弱性として特定されたことで、HP だけではなく、ファームウェア・ドライバAgesaSmmSaveMemoryConfig を使用する、多数のコンピュータ・ベンダーに影響を及ぼすものとなる。

Supply chain attack flow
Supply chain attack flow
Source: Binarly

この欠陥は、権限のない DXE ランタイムが、SMM 内でコードを実行できるために、EFI_BOOT_SERVICES および EFI_RUNTIME_SERVICES が悪用されたケースであり、確立したセキュリティ慣行に反していると言える。CERT/CC としては、影響を受ける全てベンダーと調整し、少なくともサポートされている製品については、この特権昇格の修正を押し進めることを支援すると述べている。

この記事の前提として、2022年2月2日の「UEFI ファームウェアで発見された 23件の脆弱性:ハードウェア・ベンダー 25社に影響」と、2月17日の「Intel の Software/Firmware がアップデート:18 件の深刻な脆弱性が FIX」があり、どちらも HPE に言及しています。前者では、「InsydeH2O の UEFI ファームウェアに、合計で23件の欠陥を発見した。その大半は、電源管理やハードウェア制御などの、システム全体の機能を提供するソフトウェアの SMM (System Management Mode) に存在する。SMM の権限は OS カーネルの権限を超えているため、この領域にセキュリティ上の問題があると、システムに脆弱性が生じ深刻な影響をおよぼす可能性がでてくる」と説明されています。

%d bloggers like this: