サイバーニュース.jp

世界のサイバーなニュースを配信

Clevo UEFIの脆弱性:BootGuardキーによる悪意のあるファームウェア署名の可能性

カテゴリ:

, , , , , , , , ,

概要

Clevoは、Intel Boot Guardの実装に使用されるプライベートキーを誤って公開しました。これにより、攻撃者は悪意のあるファームウェアに署名し、システムがそれを正当なものとして認識して起動する可能性があります。この問題は、脆弱性ノートVU#538470として追跡されており、2025年10月13日に公開されました。研究者たちは、この漏洩がClevoのファームウェアを使用するシステム、およびClevoのプラットフォームコンポーネントを統合する他ブランドのデバイスに、ステルスかつ永続的な侵害をもたらす可能性があると警告しています。

Intel Boot Guardとは何か、なぜ重要なのか

Intel Boot Guardは、UEFIが初期化される前のコンピューター起動の最初の段階を保護し、認証されたファームウェアのみが初期のプリブート段階で実行されることを保証します。ClevoのUEFIアップデートパッケージには、この信頼チェーンに結びつくプライベート署名キーが誤って含まれていました。これらのキーがあれば、システムフラッシュに書き込み可能な攻撃者は、改ざんされたファームウェアイメージに署名し、プラットフォームがそれを正当なものとして扱い、警告なしに起動させることができます。

これは、UEFIコンポーネントとOSのハンドオフを検証する、より後の段階で機能するUEFI Secure Bootとは異なります。Boot Guardは信頼の根源に位置するため、これをバイパスされると、プラットフォーム全体のセキュリティチェーンが損なわれます。

影響範囲と攻撃シナリオ

ClevoはODM(Original Design Manufacturer)およびOEM(Original Equipment Manufacturer)としてファームウェアとハードウェアを構築しており、多くのブランドで販売されている多数のラップトップモデルに採用されています。これは、この脆弱性の影響がClevoブランドのデバイスを超えてサプライチェーン全体に及ぶ可能性があることを意味します。

CERTのベンダーリストによると、Google、Intel、Insyde、Phoenix Technologies、UEFI Security Response Teamなど、いくつかの主要なエコシステムプレイヤーは影響を受けていないと報告されています。Acer、ADATA、Amazon、AMI、ASUSを含む他の多くのベンダーは、製品に影響を受けるClevoファームウェアが組み込まれているかどうかの明確化を待っており、現在「不明」とされています。

攻撃者は、システムのSPIフラッシュまたはファームウェアストレージに書き込む方法を必要とします。これは、物理的なアクセス、悪意のあるまたは悪用された特権アップデートツール、あるいは侵害された管理エージェントから発生する可能性があります。漏洩したキーを使用すると、攻撃者は変更されたファームウェアイメージに署名でき、それがBoot Guardの検証を通過します。一度インストールされると、そのようなファームウェアはOSの再インストール後も存続し、エンドポイントツールから隠蔽され、認証情報を傍受し、セキュリティ機能を無効にし、初期ブートインプラントを展開することができます。信頼がBoot Guardに固定されているため、この層での偽造署名は、その後の防御を無効にする可能性があります。

推奨される対策

Clevoは、漏洩したキーを含むソフトウェアを削除したと報告されていますが、ベンダーからの公式な修正手順はまだ公開されていません。Clevoベースのシステムの所有者および運用者は、影響を受けるモデルとファームウェアバージョンを特定し、ClevoのBoot Guard実装が存在するかどうかを確認し、予期せぬファームウェアの変更を監視する必要があります。

  • アップデートは、検証済みの信頼できるソースからのみ適用してください。
  • 可能な場合は、ファームウェアの書き込み保護を有効にするか強化することを検討してください。
  • 企業防衛担当者は、ファームウェアのベースライン、SPIフラッシュの書き込みイベント、および異常なアップデート活動を含む整合性監視を拡大する必要があります。
  • 侵害が疑われる場合は、プラットフォームの信頼の根源を再確立することを含む、信頼できる再フラッシュプロセスを計画してください。

この問題は、Binarly Research Teamによって責任を持って開示され、Thierry Laurionによって最初に報告されました。CERTの脆弱性ノートは、防衛担当者および影響を受けるOEMパートナー向けのベンダー状況追跡と技術的参照を提供しています。

元記事: https://gbhackers.com/clevo-uefi-leak-allows-malicious-firmware/

投稿をさらに読み込む