Motherboard and chips

CVE-2024-0762として追跡されているPhoenix SecureCore UEFIファームウェアで新たに発見された脆弱性は、多数のIntel CPUを搭載したデバイスに影響を与え、Lenovoはすでにこの欠陥を解決するための新しいファームウェア・アップデートをリリースしている。

UEFICANHAZBUFFEROVERFLOW」と名付けられたこの脆弱性は、ファームウェアのTPM(Trusted Platform Module)設定におけるバッファオーバーフローのバグであり、脆弱なデバイス上でコードを実行するために悪用される可能性がある。

この不具合はEclypsium社によって発見され、Lenovo ThinkPad X1 Carbon第7世代とX1 Yoga第4世代のデバイスで確認されたが、その後Phoenix社によって、Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake、Tiger LakeのIntel CPUのSecureCoreファームウェアにも影響があることが確認された。

このファームウェアを使用しているインテルCPUの数が多いため、この脆弱性はLenovo、Dell、Acer、HPの何百ものモデルに影響を与える可能性がある。

UEFIファームウェアは貴重なターゲット

UEFIファームウェアは、Windows、macOS、Linuxを含むすべての最新のオペレーティング・システムでサポートされているセキュア・ブートを含んでいるため、より安全であると考えられている。セキュア・ブートは、デバイスが信頼できるドライバーとソフトウェアのみを使用して起動することを暗号的に確認し、悪意のあるソフトウェアを検出した場合は起動プロセスをブロックします。

セキュアブートにより、脅威行為者が永続的なブートマルウェアやドライバをインストールすることが非常に難しくなったため、UEFIのバグはブートキットと呼ばれるマルウェアを作成するターゲットとしてますます狙われるようになっています。

ブートキットはUEFIブートプロセスの非常に早い段階でロードされるマルウェアで、悪意のあるプログラムに操作への低レベルのアクセスを与え、私たちが見たBlackLotusCosmicStrandMosaicAggressorUEFIマルウェアのように検出を非常に困難にします。

Eclypsium社によれば、今回発見されたバグは、Phoenix SecureCoreファームウェアのシステム管理モード(SMM)サブシステム内のバッファオーバーフローにあり、攻撃者は隣接するメモリを上書きできる可能性があるという。

メモリが正しいデータで上書きされた場合、攻撃者は潜在的に特権を昇格し、ブートキット・マルウェアをインストールするためにファームウェアでコード実行能力を得ることができる。

「この問題には、TPM(Trusted Platform Module)コンフィギュレーション内の安全でない変数が関与しており、バッファ・オーバーフローと悪意のあるコード実行の可能性がある」とEclypsium社は警告している。

「言い換えれば、根本的なコードに欠陥があるのであれば、TPMのようなセキュリティチップを搭載していようが関係ないということだ。

バグを発見した後、EclypsiumはPhoenix社およびLenovo社との情報公開を調整し、欠陥を修正した。

4月にPhoenixは勧告を発表し、Lenovoは5月に150以上の異なるモデルで脆弱性を解決するための新しいファームウェアのリリースを開始した。現時点では、すべてのモデルにファームウェアが提供されているわけではなく、多くは今年後半に提供される予定である。