Researchers Uncover UEFI Vulnerability Affecting Multiple Intel CPUs
2024/06/20 TheHackerNews −−− Intel Core デスクトップ/モバイル・プロセッサー群に影響を及ぼす、Phoenix SecureCore UEFI ファームウェアの脆弱性 CVE-2024-0762 (CVSS:7.5) の詳細が、サイバー・セキュリティ研究者たちにより公開された。この脆弱性は、TPM (Trusted Platform Module) コンフィグにおける、セキュアでない変数に起因するバッファ・オーバーフローであり、悪意のコードが実行される可能性があると説明されている。
サプライチェーン・セキュリティ企業の Eclypsium は、「この脆弱性によりローカル攻撃者は、ランタイム内で UEFIファームウェアの特権を昇格させ、コードを実行させることが可能となる。このような低レベルでの脆弱性の悪用は、一般に見られるようになってきた、ファームウェアにおけるバックドア (BlackLotus など) の典型である。このようなインプラントは、攻撃者にデバイス内での継続的な永続性を与えるものだ。さらに、多くのケースにおいて、OS やソフトウェア層で実行されている、より高度なセキュリティ対策を回避する能力を備えている」と、The Hacker News と共有したレポートで述べている。
この脆弱性は、情報が開示された後の 2024年4月の時点で、Phoenix Technologies により対処されているた。PC メーカーである Lenovo も、この脆弱性に対するアップデートを5月にリリースしている。
Phoenix は、「この脆弱性は、Intel Processor ファミリーである、AlderLake/CoffeeLake/CometLake/IceLake/JasperLake/KabyLake/MeteorLake/RaptorLake/RocketLake/TigerLake などで動作する、Phoenix SecureCore ファームウェアを用いるデバイスに影響する」と述べている。
BIOS の後継である UEFI とは、起動時にハードウェア・コンポーネントを初期化し、ブートマネージャーを介して OS をロードするために使用される、マザーボード・ファームウェアのことを指す。
さらに言うなら、UEFI ファームウェアで発見された脆弱性は、多様な製品やベンダに一度に影響を及ぼす可能性があるため、深刻なサプライチェーン・リスクへといたる恐れも生じる。
Eclypsium は、「UEFI ファームウェアは、現代のデバイスにおいて最も価値の高いコードの一部であり、そのコードを侵害した攻撃者は、デバイスを完全に制御し、その状況を持続させることが可能になる」と述べている。
2020年9月をもって生産終了 (EoL:end-of-life) となった、HP ProBook 11 EE G1 に影響を与える、HP の UEFI 実装におけるバッファ・オーバーフローの不具合が、先日に公表されている。そこから、約1カ月後に、今回の Eclypsium の発表があった。
また、TPM GPIO Reset と呼ばれる、ソフトウェア攻撃の手法も公開された。この手口を用いる攻撃者は、他の OS がディスクに保存したシークレットへのアクセスや、TPM が保護するディスクの暗号化やブート制御などを、危殆化させる可能性を持つという。
UEFI/BIOS の脆弱性は、さまざまな OEM を経由して対処されるものであり、FIX までに時間を要します。したがって、ユーザー企業としても、対処しようのない期間が生じるという、とても厄介な問題となります。よろしければ、UEFI で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.