VU#616257: Microsoft署名のUEFIシムブ... ノート

VU#616257: Microsoft署名のUEFIシムブートローダーがセキュアブートバイパスに脆弱

Microsoftは、Secure Bootバイパスの脆弱性により、オープンソースのシムブートローダーの古いバージョンの信頼を失効させています。この脆弱性により、攻撃者はブートプロセスの早い段階で任意のコードを実行し、セキュリティ対策を回避できます。影響を受けるシムブートローダー、主にバージョン0.9以前は、Microsoft UEFI Forbidden Signature Database (DBX)に追加されます。DBXが更新されると、これらのブートローダーの実行は許可されなくなります。シムプロジェクトは、ファームウェアとオペレーティングシステム間のブリッジとして機能することにより、LinuxディストリビューションのSecure Bootを促進します。しかし、古い脆弱なバージョンをフォークして更新しなかったベンダーは、永続的なサプライチェーンリスクを生み出しました。研究者は、Red Hat、baramundi、Oracleを含むさまざまなベンダーの特定の脆弱なシムブートローダーを特定しました。この欠陥を悪用することで、ブート変更権限を持つ攻撃者は永続的な制御を獲得し、再起動後も残る署名されていないカーネルコンポーネントをロードできる可能性があります。これらの悪意のあるコンポーネントは、オペレーティングシステムのセキュリティとエンドポイント検出ソリューションを回避できます。これを軽減するために、ユーザーは最新のベンダーソフトウェアとブートローダーのアップデートを適用する必要があります。さらに、脆弱なブートローダーをブロックするために、MicrosoftのDBXアップデートを適用することが重要です。エンタープライズおよび開発者は、広範な展開の前にこれらのアップデートを徹底的にテストする必要があります。DBXの失効を適用する前に、承認済み署名データベース(DB)を更新することが推奨されます。DBXアップデートを監査および検証し、失効したブートコンポーネントを特定するためのツールが利用可能です。