過去 7 か月間、おそらくはさらに長期間にわたり、Windows デバイスをファームウェア感染から保護する業界標準が、簡単な手法でバイパスされる可能性がありました。火曜日、Microsoftはついにこの脆弱性にパッチを当てた。 Linux システムの状況はまだ不明です。
CVE-2024-7344 として追跡されているこの脆弱性により、デバイスへの特権アクセスを既に取得している攻撃者が起動時に悪意のあるファームウェアを実行することが可能になります。この種の攻撃は、Windows や Linux が読み込まれる前の初期段階で実行されるファームウェア内に感染が隠れているため、特に有害である可能性があります。この戦略的な位置により、マルウェアは OS によってインストールされた防御を回避することができ、ハード ドライブが再フォーマットされた後でも生き残る能力が得られます。それ以降、結果として得られる「ブートキット」がオペレーティング システムの起動を制御します。
2012 年から導入されているセキュア ブートは、読み込まれる各ファイルをリンクする信頼のチェーンを作成することで、この種の攻撃を防ぐように設計されています。デバイスが起動するたびに、セキュア ブートは各ファームウェア コンポーネントが実行を許可される前にデジタル署名されていることを検証します。次に、OS ブートローダーのデジタル署名をチェックして、セキュア ブート ポリシーによって信頼されており、改ざんされていないことを確認します。セキュア ブートは、最新の Windows および Linux デバイスの起動を担当する BIOS の後継である UEFI (Unified Extensible Firmware Interface の略) に組み込まれています。
未署名の UEFI アプリが潜んでいる
昨年、セキュリティ会社 ESET の研究者 Martin Smolár 氏は、Howyar Technologies が提供するリアルタイム システム リカバリ ソフトウェア スイートである SysReturn について奇妙なことに気づきました。内部の奥深くには、reloader.efi という名前の XOR エンコードされた UEFI アプリケーションが埋め込まれていました。これは、何らかの方法で Microsoft の認証を通過した後にデジタル署名されました。 内部レビュープロセス サードパーティの UEFI アプリの場合。
reloader.efi は、セキュア ブート プロセスを実行するために UEFI 関数 LoadImage および StartImage を呼び出すのではなく、カスタム PEローダー。このカスタム ローダーは必要なチェックを実行しませんでした。 Smolár 氏がさらに調査を進めると、reloader.efi が Howyar の SysReturn だけでなく、他の 6 つのサプライヤーのリカバリ ソフトウェアにも存在することがわかりました。完全なリストは次のとおりです。
ソース参照
#Microsoftセキュアブートバイパスの脅威を排除するためにWindowsにパッチを適用