Acer

Acer は、ローカルの攻撃者が標的のシステムで UEFI セキュア ブートを無効にする可能性がある、複数のラップトップ モデルに影響を与える深刻度の高い脆弱性を修正しました。

セキュア ブート セキュリティ機能は、Trusted Platform Module (TPM) チップと Unified Extensible Firmware Interface (UEFI) ファームウェアを搭載したコンピューターで、信頼されていないオペレーティング システムのブートローダーをブロックし、起動プロセス中にルートキットやブートキットなどの悪意のあるコードが読み込まれないようにします。

ESET マルウェア研究者のMartin Smolarによって報告されたセキュリティ上の欠陥 ( CVE-2022-4020 ) は、一部の消費者向け Acer Notebook デバイスの HQSwSmiDxe DXE ドライバーで発見されました。

高い権限を持つ攻撃者は、BootOrderSecureBootDisable NVRAM 変数を変更してセキュア ブートを無効にすることにより、ユーザーの操作を必要とせずに UEFI セキュア ブート設定を変更する複雑さの低い攻撃でそれを悪用できます。

「研究者は、NVRAM 変数を作成することでセキュア ブート設定を変更できる脆弱性を特定しました (変数の実際の値は重要ではなく、影響を受けるファームウェア ドライバーによって存在のみがチェックされます)」と Acer は述べています。

影響を受ける Acer ラップトップの脆弱性を悪用し、セキュア ブートをオフにした後、攻撃者は OS のロード プロセスを乗っ取り、署名されていないブートローダーをロードして、保護をバイパスまたは無効化し、システム権限で悪意のあるペイロードを展開することができます。

BIOS アップデートが利用可能、Windows アップデートが受信中

「Acer は、この問題を解決するために、BIOS を最新バージョンに更新することをお勧めします。この更新プログラムは、Windows の重要な更新プログラムとして含まれます」と同社は付け加えました。

または、 同社のサポート Web サイトから BIOS アップデートをダウンロードし、影響を受けるシステムに手動で展開することもできます。

影響を受ける Acer ラップトップ モデルの完全なリストには、Acer Aspire A315-22、A115-21、A315-22G、Extensa EX215-21、および EX215-21G が含まれます。

Lenovo は、ESET の研究者が今月初めに複数の ThinkBook、IdeaPad、および Yoga ラップトップ モデルで発見した同様のバグにパッチを適用し、攻撃者が UEFI セキュア ブートを無効化できるようにしました。

脅威アクターが OS の起動前に署名されていない悪意のあるコードを実行できるようにすると、OS の再インストール後も持続する可能性のあるマルウェアの展開や、セキュリティ ソリューションによって提供されるマルウェア対策保護のバイパスなど、深刻な結果につながる可能性があります。

Lenovo の場合、この問題は、OS からセキュア ブート設定を変更できる製品ドライバーに初期開発ドライバーを含めた会社の開発者によって引き起こされました。

1 月、ESET は、攻撃者が Windows を実行している 70 を超える Lenovo デバイス モデルでスタートアップ ルーチンをハイジャックできるようにする可能性のあるUEFI ファームウェアの他の 3 つの欠陥を発見しました。