概要:UEFI Shellの重大な脆弱性
セキュリティ研究者たちは、署名されたUEFIシェルに重大な脆弱性を発見しました。これにより、攻撃者は約20万台のFramework製ラップトップおよびデスクトップにおいて、セキュアブート保護を完全にバイパスできることが判明しました。この脆弱性は、ファームウェアセキュリティにおける根本的な弱点を露呈しており、システムで最も特権の高いレベルでの永続的で検出不可能なマルウェア感染を可能にする恐れがあります。
これらの脆弱性は、信頼されたMicrosoft証明書で署名された正規の診断ツールに起因しています。これらのUEFIシェルはシステム管理者やファームウェア開発者にとって正当な目的を持っていますが、コアセキュリティ保護を無効にできる危険な機能を含んでいます。悪意のあるアクターによって仕掛けられた従来のバックドアとは異なり、これらは攻撃者がブートセキュリティチェーン全体を破壊するために悪用できる、承認されたコンポーネントです。
脆弱性の詳細:mmコマンドの悪用
脆弱性の核心は、多くのUEFIシェルに見られるmmコマンドにあります。このコマンドはシステムメモリへの直接的な読み書きアクセスを提供し、攻撃者がオペレーティングシステムがロードされる前に重要なセキュリティ構造を変更することを可能にします。研究者たちは、Security Architectural Protocolを標的にすることで、攻撃者がブート中のデジタル署名検証を行うメモリ位置を上書きし、システムが保護がアクティブであると報告し続けるにもかかわらず、セキュアブートを無効化できることを実証しました。
攻撃はいくつかの段階で実行されます。まず、攻撃者はSecurity Architectural Protocolを指すグローバル変数を特定します。UEFIシェルコマンドを使用して、この変数が存在するメモリアドレスを特定します。その後、mmコマンドがセキュリティハンドラーポインタを上書きし、後続のすべてのモジュールロードに対する署名検証を無効にします。保護が無効になると、攻撃者はブートキットやルートキットを含む任意のコードをロードできます。最も懸念されるのは、スタートアップスクリプトを介した永続性であり、これによりこれらのコマンドがすべてのブート時に自動的に実行されます。
影響を受けるシステムと対策
Eclypsiumの研究者たちは、Framework社がファームウェアアップデートのためにLinuxユーザーに署名されたUEFIシェルを配布していることを発見しました。テストにより、これらのシェルには危険なmmコマンド機能が含まれており、システムによって信頼されている証明書で署名されていることが確認されました。Framework社はこの問題を認識しており、約20万台のデバイスに影響を与えていることを認め、製品ライン全体で修正を実装しています。異なるモデルは様々な段階の修正を受けており、一部はすでに限定されたシェルバージョンと、脆弱なコンポーネントをブラックリストに登録するためのDBXデータベースアップデートを受け取っています。
現実世界への影響と脅威
これらの技術は理論的な脅威ではありません。ゲーム業界の商業的なチートプロバイダーは、Microsoft署名コンポーネントを悪用して、UEFIレベルのアンチチートバイパスを月額最大40ユーロで公然と販売しています。さらに深刻なことに、HybridPetyaランサムウェアは、犯罪グループが同様の脆弱性を使用して、オペレーティングシステム前の感染方法を採用していることを示しました。セキュリティ専門家は、国家支援型アクターや高度な持続的脅威グループが、スパイ活動や破壊工作のためにこれらの技術を兵器化する可能性があると警告しています。
防御戦略
この発見は、セキュアなブートプロセスを持っているように見えるシステムが、実際にはファームウェアレベルの攻撃に対して脆弱である可能性があることを明らかにしています。防御戦略には以下が含まれます:
- 脆弱なブートローダーをブラックリストに登録するDBXアップデートを通じて、UEFI失効リストを最新の状態に保つ。
- BIOSパスワード保護を実装する。
- カスタムのセキュアブートキー管理を展開する。
- ファームウェア分析ツールを使用して脆弱なコンポーネントを特定する。
組織は、ファームウェアセキュリティはもはや後回しにできないことを認識する必要があります。このレベルで活動する攻撃者は、オペレーティングシステムやアプリケーションに組み込まれた事実上すべてのセキュリティ制御をバイパスできるためです。
元記事: https://gbhackers.com/uefi-shell-flaws-disable-secure-boot-on-over-200000-laptops/