概要
米国のコンピューターメーカーであるFramework社製のLinuxノートPC約20万台に、Secure Boot保護をバイパスできるUEFIシェルコンポーネントが搭載されていることが判明しました。この脆弱性を悪用されると、攻撃者はOSレベルのセキュリティ制御を回避し、OSの再インストール後も永続的に機能するブートキット(例:BlackLotus、HybridPetya、Bootkitty)をロードする可能性があります。
「mm」コマンドの脆弱性
ファームウェアセキュリティ企業Eclypsiumによると、この問題はFrameworkが出荷した正規に署名されたUEFIシェルに「memory modify」(mm)コマンドが含まれていることに起因します。このコマンドは、システムメモリへの直接的な読み書きアクセスを提供し、低レベルの診断やファームウェアのデバッグを目的としています。
しかし、このコマンドはUEFIモジュールの署名検証プロセスにおける重要なコンポーネントであるgSecurity2変数を標的にすることで、Secure Bootの信頼チェーンを破壊するために悪用される可能性があります。mmコマンドはgSecurity2をNULLで上書きし、事実上署名検証を無効にすることができます。
Eclypsiumは、「アドレスが特定されると、mmコマンドはセキュリティハンドラーポインタをNULLで上書きするか、検証を実行せずに常に『成功』を返す関数にリダイレクトできる」と述べています。これにより、セキュリティハンドラーポインタを含むメモリ位置にゼロが書き込まれ、その後のすべてのモジュールロードに対する署名検証が効果的に無効になります。研究者らは、この攻撃が起動スクリプトを介して自動化され、再起動後も持続する可能性があることにも言及しています。
影響を受けるシステムと対策
Frameworkは、モジュール式で修理しやすいノートPCやデスクトップPCの設計で知られる米国を拠点とするハードウェア企業です。危険なmmコマンドの存在は、侵害の結果ではなく、見落としによるものと見られています。この問題を知ったFrameworkは、脆弱性の修正に取り組み始めました。
Eclypsiumの研究者らは、この問題が約20万台のFrameworkコンピューターに影響を与えていると推定しています。影響を受けるモデルと修正状況は以下の通りです。
- Framework 13 (第11世代Intel): 3.24で修正予定
- Framework 13 (第12世代Intel): 3.18で修正済み、3.19でDBXアップデート予定
- Framework 13 (第13世代Intel): 3.08で修正済み、3.09でDBXアップデート発行済み
- Framework 13 (Intel Core Ultra): 3.06で修正済み
- Framework 13 (AMD Ryzen 7040): 3.16で修正済み
- Framework 13 (AMD Ryzen AI 300): 3.04で修正済み、3.05でDBXアップデート予定
- Framework 16 (AMD Ryzen 7040): 3.06 (ベータ版)で修正済み、3.07でDBXアップデート発行済み
- Framework Desktop (AMD Ryzen AI 300 MAX): 3.01で修正済み、3.03でDBXアップデート予定
推奨事項
影響を受けるユーザーは、利用可能なセキュリティアップデートを適用することが推奨されます。まだパッチが利用できない場合は、物理的なアクセス防止などの二次的な保護対策が重要です。また、一時的な緩和策として、BIOS経由でFrameworkのDBキーを削除することも有効です。