研究者らが複数の Intel CPU に影響を与える UEFI CVE-2024-0762 の脆弱性を発見
最近、サイバーセキュリティ研究者が Phoenix SecureCore UEFI ファームウェアに重大なセキュリティ上の欠陥があることを明らかにしました。この欠陥は、Intel Core デスクトップおよびモバイル プロセッサの複数のファミリに影響を及ぼします。CVSS スコア 7.5 で CVE-2024-0762 として識別されるこの脆弱性は、「UEFIcanhazbufferoverflow」と名付けられています。これは、Trusted Platform Module (TPM) 構成で安全でない変数を使用することによって発生するバッファ オーバーフローの問題であり、悪意のあるコードの実行を許す可能性があります。
サプライチェーン セキュリティ企業 Eclypsium は、この脆弱性により、ローカルの攻撃者が権限を昇格し、実行時に UEFI ファームウェア内でコードを実行できると報告しました。この種の低レベルのエクスプロイトは、実環境でますます多く確認されている BlackLotus などのファームウェア バックドアを彷彿とさせます。このようなエクスプロイトにより、攻撃者はデバイスへの永続的なアクセスが可能になり、多くの場合、オペレーティング システムとソフトウェア レイヤーのより高度なセキュリティ対策を回避します。
Phoenix Technologies は、責任ある開示を受けて、2024 年 4 月にこの脆弱性を修正しました。Lenovo も先月、この欠陥に対処するアップデートをリリースしました。影響を受けるデバイスには、Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake、Tiger Lake などの Intel プロセッサ ファミリで Phoenix SecureCore ファームウェアを使用しているデバイスが含まれます。
BIOS の後継である UEFI (Unified Extensible Firmware Interface) は、ハードウェア コンポーネントを初期化し、起動時にブート マネージャーを介してオペレーティング システムをロードするために不可欠です。UEFI は最高権限で実行される最初のコードであるため、ブートキットやファームウェア インプラントを展開しようとする脅威アクターの主なターゲットになっています。これらの攻撃は、セキュリティ メカニズムを回避し、検出されずに持続することができます。
UEFI ファームウェアの脆弱性は、多数の製品とベンダーに同時に影響を及ぼし、サプライ チェーンに重大なリスクをもたらします。Eclypsium が指摘したように、UEFI ファームウェアを侵害すると、攻撃者は影響を受けるデバイスを完全に制御し、永続的に攻撃を仕掛けることができます。
この展開は、2020年9月にサポート終了となったHP ProBook 11 EE G1に影響する、HPのUEFI実装におけるパッチ未適用のバッファオーバーフローの欠陥に関するEclypsiumによる別のレポートの直後に起きた。さらに、TPM GPIO Resetと呼ばれるソフトウェア攻撃が公開された。攻撃者はこれを悪用して、他のオペレーティングシステムによってディスクに保存された秘密にアクセスしたり、ディスク暗号化やブート保護などのTPMで保護された制御を弱体化させたりできる可能性がある。
ファームウェア パッチを最新の状態に保ち、これらの脆弱性の影響を理解することは、現代のコンピューティング デバイスのセキュリティを維持するために重要です。