GIGABYTE は、マルウェアのインストールに悪用される可能性がある 270 以上のマザーボードのセキュリティ脆弱性を修正するファームウェア アップデートをリリースしました。
ファームウェアのアップデートは、Windows にソフトウェア自動アップデート アプリケーションをインストールするために使用される正規の GIGABYTE 機能に欠陥があることを発見したハードウェア セキュリティ会社 Eclypsium の報告に応じて、先週の木曜日にリリースされました。
Windows には、ファームウェア開発者がファームウェア イメージから実行可能ファイルを自動的に抽出し、オペレーティング システムで実行できるようにする Windows プラットフォーム バイナリ テーブル (WPBT) と呼ばれる機能が含まれています。
「WPBT を使用すると、ベンダーと OEM は UEFI 層で.exe
プログラムを実行できます。Windows が起動するたびに、Windows は UEFI を調べて.exe
を実行します。これは、Windows メディアに含まれていないプログラムを実行するために使用されます。 」 とマイクロソフトは説明します。
GIGABYTE マザーボードは、WPBT 機能を使用して、Windows の新規インストール時に自動更新アプリケーションを「%SystemRoot%system32GigabyteUpdateService.exe」に自動的にインストールします。
この機能はデフォルトで有効になっていますが、 [Peripherals]タブ > [APP Center Download & Install Configuration]構成オプションの BIOS 設定で無効にすることができます。
しかし、Eclypsium は、このプロセスでさまざまなセキュリティ上の欠陥を発見しました。攻撃者がそれを悪用して中間者 (MiTM) 攻撃でマルウェアを配布する可能性があります。
Eclypsium は、ファームウェアが GIGABYTEUpdateService.exe をドロップして実行すると、その実行可能ファイルが 3 つの GIGABYTE URL の 1 つに接続して、自動更新ソフトウェアの最新バージョンをダウンロードしてインストールすることを発見しました。
問題は、ソフトウェアのダウンロードに使用される URL のうち 2 つが安全でない HTTP 接続を利用しているため、MiTM 攻撃でハイジャックされ、代わりにマルウェアがインストールされる可能性があることです。
さらに研究者らは、GIGABYTE がダウンロードされたファイルの署名検証をまったく実行していないことを発見しました。これにより、悪意のあるファイルや改ざんされたファイルのインストールが防止される可能性があります。
これに応えて、GIGABYTE はこれらの問題を修正するために、Intel 400/500/600/700 および AMD 400/500/600 シリーズ マザーボード用のファームウェア アップデートをリリースしました。
「システムのセキュリティを強化するために、GIGABYTE はオペレーティング システムの起動プロセス中により厳格なセキュリティ チェックを実装しました。これらの対策は、潜在的な悪意のあるアクティビティを検出して防止するように設計されており、ユーザーに強化された保護を提供します。
1. 署名検証: GIGABYTE は、リモート サーバーからダウンロードされたファイルの検証プロセスを強化しました。この強化された検証により、コンテンツの整合性と正当性が保証され、攻撃者による悪意のあるコードの挿入の試みが阻止されます。
2. 特権アクセス制限: GIGABYTE は、リモート サーバー証明書の標準暗号検証を有効にしました。これにより、有効で信頼できる証明書を持つサーバーからのみファイルがダウンロードされることが保証され、追加の保護層が確保されます。」 – GIGABYTE。
これらの脆弱性によるリスクは低いと考えられますが、すべての GIGABYTE マザーボード ユーザーは、セキュリティ修正の恩恵を受けるために最新のファームウェア アップデートをインストールすることをお勧めします。
さらに、GIGABYTE 自動更新アプリケーションを削除したい場合は、まず「APP Center ダウンロードとインストール構成」をオフにする必要があります。 BIOS の設定を変更してから、Windows でソフトウェアをアンインストールします。
Comments