ゲッティイメージズ
研究者は水曜日に、20 を超える Lenovo ラップトップ モデルが、UEFI セキュア ブート プロセスを無効にし、署名されていない UEFI アプリケーションを実行したり、デバイスを危険にさらすブートローダーを永続的にマウントしたりする悪意のあるハッキングに対して脆弱であると警告しました。
同時に、セキュリティ企業 ESET の研究者は次のように述べています。 弱点の発見ラップトップメーカー セキュリティ更新のリリース ThinkPad、Yoga Slim、IdeaPad を含む 25 のモデル。 UEFI セキュア ブートを弱体化させる脆弱性は、攻撃者が複数の OS の再インストールに耐える悪意のあるファームウェアをインストールできるようにするため、危険な場合があります。
一般的ではありませんが、まれです
UEFI は、Unified Extensible Firmware Interface の略で、コンピューターのファームウェアをオペレーティング システムに接続するソフトウェアです。 ほぼすべての最新デバイスの電源を入れたときに最初に実行されるコードとして、セキュリティ チェーンの最初のリンクです。 UEFI はマザーボード上のフラッシュ チップにあるため、感染を検出して削除することは困難です。 ハード ドライブのワイプやオペレーティング システムの再インストールなどの一般的な操作では、UEFI 感染がコンピュータに再感染するため、大きな影響はありません。
ESET は、CVE-2022-3430、CVE-2022-3431、および CVE-2022-3432 として追跡されている脆弱性により、「UEFI セキュア ブートを無効にしたり、工場出荷時のデフォルトのセキュア ブート データベース (dbx を含む) を復元したりできる」と述べています。セキュア ブートは、データベースを使用してメカニズムを許可および拒否します。 特に、DBX データベースは、拒否されたキーの暗号化ハッシュを格納します。 データベースのデフォルト値を無効化または復元すると、攻撃者は通常有効な制限を削除できます。
「オペレーティング システムからファームウェアを変更することは一般的ではありませんが、かなりまれです」と、匿名を希望するファームウェア セキュリティを専門とする研究者はインタビューで述べています。 「ほとんどの人は、ファームウェアまたは BIOS の設定を変更するには、起動時に DEL ボタンを押してセットアップに入り、そこで何かを行うために物理的にアクセスする必要があると考えています。オペレーティング システムからいくつかのことを実行できる場合、それは一種の大きな問題です。
UEFI セキュア ブートを無効にすると、攻撃者が悪意のある UEFI アプリケーションを実行できるようになりますが、セキュア ブートは UEFI アプリケーションに暗号で署名する必要があるため、通常は実行できません。 一方、工場出荷時のデフォルト DBX を復元すると、攻撃者は脆弱なブートローダーをロードできます。 8 月には、セキュリティ会社 Eclypsium の研究者が 私は 3 つの著名なドライバーを特定しました 攻撃者が昇格した権限 (Windows では管理者権限、Linux では root 権限) を持っている場合に、セキュア ブートをバイパスするために使用できます。
脆弱性は、さまざまな起動オプションを格納する不揮発性 RAM である NVRAM の変数を改ざんすることによって悪用される可能性があります。 これらの脆弱性は、Lenovo が製造工程でのみ使用するように設計されたドライバーを搭載したラップトップを誤って出荷したことが原因で発生します。 弱点は次のとおりです。
- CVE-2022-3430: 一部の消費者向け Lenovo ノートブックの WMI セットアップ ドライバーに潜在的な脆弱性があり、昇格した攻撃者が NVRAM 変数を変更してセキュア ブート設定を変更できる可能性があります。
- CVE-2022-3431: 一部の消費者向け Lenovo ノートブックの製造プロセス中に使用されるドライバーに潜在的な脆弱性があり、誤って非アクティブ化されていないため、昇格された特権を持つ攻撃者が NVRAM 変数を変更してセキュア ブート設定を変更できる可能性があります。
- CVE-2022-3432: Ideapad Y700-14ISK の製造プロセス中に使用され、誤って非アクティブ化されなかったドライバーに潜在的な脆弱性があるため、昇格された特権を持つ攻撃者が NVRAM 変数を設定してセキュア ブート設定を変更できる可能性があります。
Lenovo は最初の 2 つだけを修正します。 CVE-2022-3432 にはパッチが適用されません。これは、影響を受けたラップトップ モデルである Ideapad Y700-14ISK のサポートが終了したためです。 他の脆弱なモデルを使用しているユーザーは、できるだけ早くパッチをインストールする必要があります。
「流行に敏感な探検家。受賞歴のあるコーヒーマニア。アナリスト。問題解決者。トラブルメーカー。」
More Stories
Apple Sports アプリでは、iOS 18 の iPhone ロック画面でライブスコアを表示できます
PS5 Proの発表計画とデバイスデザインに関するリーク
悪魔城ドラキュラ ドミナス コレクションの物理的なリリースが決定、予約注文は来月開始