VU#455367: UEFIシステムファームウェア署名で使用されているプラットフォームキー(PK)のセキュリティが不十分
UEFIのPKfail脆弱性に関する解説UEFIにおけるPKfail脆弱性は、テスト専用に設計されたハードコードされたプラットフォームキー(PK)を攻撃者が悪用することで、セキュアブートを回避することを可能にするものです。これらの信頼できないキーは、誤って製品版ファームウェアに組み込まれてしまう可能性があり、その結果、起動時に高い権限で実行される悪意のあるモジュールに対するシステムの脆弱性が生まれます。UEFIのキー検証プロセスは限定的であり、信頼できないキーが信頼できるキーと誤認される可能性があります。厳密な検証や属性ベースの検証が不足しているため、これらのキーはセキュリティ対策を回避することができます。UEFIファームウェアは、多くの場合、EDRソフトウェアからは見えにくいため、侵害されたキーを検出することが困難です。さらに、多くのUEFI実装では、リモート測定や監査機能が不足しています。侵害されたPKの秘密部分にアクセスできる攻撃者は、悪意のあるUEFIソフトウェアに署名することができ、セキュリティ機能の無効化、永続的なソフトウェアのインストール、バックドアの作成、システムの損傷につながる可能性があります。この脆弱性を軽減するには、ベンダーまたは販売店から提供される最新の安定版にUEFIファームウェアを更新することが重要です。Binarlyから提供されるツールと情報は、信頼できないプラットフォームキーがシステムに与える影響を評価するために使用できます。ファームウェアの最新の状態を維持し、リスクを軽減するために、自動ファームウェア更新を利用する必要があります。