Howyar Reloader の脆弱性 CVE-2024-7344:UEFI Secure Boot 回避の可能性

CVE-2024-7344: Howyar Reloader Vulnerability Exposes UEFI Systems to Unsigned Software Threats

2025/01/15 SecurityOnline — SysReturn バージョン 10.2.02320240919 未満に取り込まれる Howyar Reloader UEFI ブートローダーに、重大な脆弱性 CVE-2024-7344 が存在することが、CERT/CC の発表により明らかになった。この脆弱性を悪用する攻撃者は、UEFI Secure Boot を回避し、署名のないソフトウェアをブート・プロセス中に実行する可能性を手にする。その結果として、検出を回避する持続的な脅威が成立し得るという。

Howyar Reloader ブートローダーは、信頼される Microsoft UEFI CA (Certificate Authority) により署名される UEFI アプリケーションであり、UEFI 準拠システムにおけるインシャル・ブート・プロセスを管理するよう設計されている。しかし ESET の研究者たちが発見したのは、このブートローダーが署名の検証を行わずに、ハードコードされたパスから任意のソフトウェアの実行を許可していることである。CERT/CC は、「安全なアプリケーション実行のために必須となる、UEFI の標準 API である BootServices LoadImage() を、Reloader が使用していないことに、この脆弱性は起因する」と説明している。

この脆弱性の悪用に成功した攻撃者は、指定のパスに署名のない UEFI アプリケーションをインストールし、UEFI コンテキストでの高特権コード実行の可能性を手にする。このブートローダーは広く普及し、サプライチェーンのソフトウェアなどに統合されている。したがって、その潜在的な攻撃対象は、複数のベンダーにおける広範な UEFI 実装などに及ぶ可能性がある。

脆弱性 CVE-2024-7344 の悪用に成功した攻撃者は、Secure Boot をバイパスして、OS がロードされる前に悪意のコードを実行する可能性を手にする。さらに、早期の段階での侵害には、以下のような深刻な被害を及ぼす可能性がある:

  • 持続的なマルウェアの導入:UEFI コンテキストで実行されたコードは、システムの再起動や OS の再インストール後も持続する可能性がある。
  • カーネルの操作:この脆弱性を悪用する攻撃者は、悪意のカーネル・エクステンションをロードし、システムを長期間にわたって制御する可能性を手にする。
  • 検知の回避:OS レベル以下の操作により、悪意のコードは EDR (Endpoint Detection and Response)ツールなどのセキュリティ対策を回避する。

CERT/CC は、この脆弱性の重大性を強調し、「このイニシャル・ブート・フェーズで実行されるコードはシステム上に残存し、再起動や OS の再インストール後も生き残る。したがって、悪意のカーネル・エクステンションをロードする可能性を、攻撃者は手にする」と指摘している。

この脆弱性に対処するための推奨事項として、CERT/CC と Howyar Technologies は以下の手順を挙げている:

  1. パッチを適用する:Howyar Reloader の最新版をインストールする。すでに Howyar Technologies は修正版をリリースしている。ユーザーに推奨されるのは、同社の指示に従ってインストールを行うことである。
  2. DBX ファイルを更新する:UEFI Secure Boot DBX (Forbidden Signature Database) を更新して、脆弱なバージョンのブートローダーをブロックする。Microsoft は、2025年1月14日頃に更新された DBX ファイルをリリースする予定であり、OEM や OS ベンダーから、それが配布される可能性が高い。
  3. UEFI コンフィグを監査する: すべての UEFI 準拠システムが、不正なアップデートを防止するよう設定されていることを確認し、脆弱性に対するブートローダーの実装を定期的に確認する。

大規模な展開を管理する企業に求められるのは、システムの不安定化を回避するために、DBX アップデートの徹底的なテストを優先することだ。CERT/CC のアドバイザリには、「ベンダーが実施すべきことは、アップデートによりシステムが使用不能にならないことを、徹底的にテストすることである」と記載されている。クラウド・プロバイダーや機密データなどを扱う組織に推奨されるのは、仮想マシンの起動プロセスが、署名されていないバイナリから保護されていることの確認である。

UEFI ブートローダーの利用状況といっても、なかなか分からないところが多いですが、Howyar Reloader でググってみると、日本語のコンテンツもいくつか出てきます。ご利用のベンダーさんは、ご注意ください。よろしければ、UEFI Secure Boot で検索を、ご参照ください。