Microsoft がブロックした UEFI ブートローダー:Secure Boot バイパスの脆弱性を発見

Microsoft blocks UEFI bootloaders enabling Windows Secure Boot bypass

2022/08/12 BleepingComputer — Unified Extensible Firmware Interface (UEFI) 用の一部の署名付きサードパーティ・ブートローダには、OS がロードされる前のブート・プロセスの初期段階で、攻撃者による不正なコード実行の可能性が存在する。Windows で使用されているベンダー固有のブートローダに脆弱性があることが判明しており、その他にも約 10件のブートローダの状態については、現在のところ確認が取れていない。

脅威アクターたちは、このセキュリティ脆弱性を悪用し、OS の再インストールでは削除できない、ターゲット・システム上での永続性を確立することができる。Eclypsium のセキュリティ研究者である Mickey Shkatov と Jesse Michael は、サードパーティ・ベンダーの UEFI ブートローダに影響する脆弱性を発見した。彼らは、この脆弱性は、Windows マシンの Secure Boot 機能をバイパスするために悪用される可能性があるとしている。

Secure Boot は、UEFI 仕様の一部であり、OS の起動プロセスを開始するために、特定のベンダーが提供する証明書で署名された、信頼できるコードのみが実行されるように設計されている。このファームウェア・ブートローダは、システムの電源を入れた直後に実行される。そして、ハードウェアを初期化し、Windows ブートマネージャを起動するための UEFI 環境を起動する。

Overview of the boot process on UEFI systems
source: Microsoft

Eclypsium の研究者たち発見したのは、Microsoft が承認した以下の3つの UEFI ブートローダに存在し、Secure Boot 機能をバイパスし、署名されていないコードの実行を許す脆弱性である。

  • New Horizon Datasys Inc: CVE-2022-34302 (bypass Secure Boot via custom installer)
  • CryptoPro Secure Disk: CVE-2022-34301 (bypass Secure Boot via UEFI Shell execution)
  • Eurosoft (UK) Ltd: CVE-2022-34303 (bypass Secure Boot via UEFI Shell execution) 

上記のリストにある、CryptoPro Secure Disk/Eurosoft (UK) のベンダーと Microsoft は協力し、提供されているブートローダの脆弱性を修正する、セキュリティ更新プログラム KB5012170 をリリースした。

Microsoft は、この修正の一環として、2022年7月のセキュリティ・アップデートで発行された、それぞれのベンダーにとって必須の証明書をすべてブロックした。Microsoft は、「このセキュリティ・アップデートは、既知の脆弱な UEFI モジュールの署名を DBX に追加することにより、脆弱性に対処するものだ」としている。

カーネギーメロン大学の CERT Coordination Center は、この脆弱性に関する今週のアドバイザリーで、「起動初期に実行されるコードは、一般的な OS ベース/EDR セキュリティの防御を回避する可能性もある」と警告している。さらに、同センターは、23件の UEFI ブートローダ・ベンダーのリストを公開した。

そのうちの、Microsoft (impacted)/Phoenix Technologies (not impacted)/Red Hat (not impacted) の3社のみが、ステータスを提示している。残りの 20社にも、この問題に関する通知が行われているが、現時点において、各ベンダーの製品が影響を受けるかどうかは不明である。

CERT Coordination Center が公開したリストには、Acer/AMD/American Megatrends/ASUSTeK/DELL/Google/Hewlett Packard Enterprise/HP/Lenovo/TOSHIBA/VAIO Corporation などが含まれている。

これらの脆弱性に対する修正プログラムは、UEFI Revocation List – Secure Boot Forbidden Signature Database (DBX)/UEFI Secure Boot で、システム起動前に承認されたファームウェア/ソフトウェアの、失効した署名のデータベースを更新する、OEM/OS ベンダーのいずれかが配信する必要がある。

Microsoft の Windows Secure Boot をバイパスする脆弱性が、いくつかの UEFI ブートローダーで発見されたという話です。このレイヤが侵害されると、通常のセキュリティ製品などでは対応できない状況に陥るので、とても気がかりです。ただ、UEFI 関しては、2022年3月8日の「HP が 16 件の UEFI ファームウェア・バグに対応:永続的マルウェア埋め込みの可能性」や、3月22日の「Dell のノート PC の脆弱性が FIX:UEFI ファームウェアで任意のコード実行」、6月13日の「Lenovo ノートに新たな UEFI ファームウェアの脆弱性:70 機種以上に深刻な影響が」といった具合に、各ベンダーで脆弱性が発生しています。よろしければ、UEFI で検索も、ご利用ください。