新しいSecure Bootの脆弱性発見 – ブートキットマルウェアのインストールが可能に、今すぐ対策を(CVE-2025-3052)

Security

記事本文(要約)

セキュリティ研究者は、新しいSecure Bootバイパスの脆弱性CVE-2025-3052を公開しました。この脆弱性により、PCやサーバー上のセキュリティを無効化し、ブートキットマルウェアをインストールすることができます。

この欠陥は、Microsoftの「UEFI CA 2011」証明書を信頼するほぼすべてのシステムに影響を及ぼします。Binarlyの研究者Alex Matrosovが、この脆弱性をBIOSフラッシュユーティリティから発見しました。このユーティリティは、Secure Bootが有効なシステム上で動作可能です。

脆弱性は、署名されたユーティリティがユーザーが書き込み可能なNVRAM変数を検証せずに読み取ることから生じ、管理者権限を持つ攻撃者が、この変数を修正してSecure Bootを無効にすることが可能です。

Microsoftは、この問題が14の異なるモジュールに影響すると判断し、2025年6月のパッチ火曜日にSecure Bootの更新版dbxリストにこれらのモジュールのハッシュを追加し対策しました。ユーザーは、この更新を直ちに適用することが推奨されます。

また、Insyde H2Oに基づくUEFI互換ファームウェアにも影響を与える別のSecure Bootバイパス「Hydroph0bia」(CVE-2025-4275)が報告され、修正されています。

※この要約はChatGPTを使用して生成されました。

公開日: Tue, 10 Jun 2025 16:02:19 -0400

Original URL: https://www.bleepingcomputer.com/news/security/new-secure-boot-flaw-lets-attackers-install-bootkit-malware-patch-now/

詳細な技術情報

CVE番号

  • CVE-2025-3052: この脆弱性は、Microsoftの「UEFI CA 2011」証明書を利用したSecure Bootのバイパスに関するものです。

脆弱性の仕組み

  • 脆弱性の原因: 脆弱性は、MicrosoftのUEFI CA 2011証明書で署名された正規のBIOSアップデートユーティリティによって引き起こされます。このユーティリティは、ユーザーが書き込み可能なNVRAM変数(IhisiParamBuffer)を検証せずに読み込みます。
  • 攻撃手法: 管理者権限を持つ攻撃者が、この変数を変更し、ブートプロセス中にメモリの位置に任意のデータを書き込むことが可能です。これにより、Secure Bootが無効化され、どのような未署名のUEFIモジュールも実行可能になります。

攻撃手法

  • 攻撃者の行動: 攻撃者は、PoC(Proof of Concept)を使用してgSecurity2というグローバル変数を書き換えます。この変数はSecure Bootを強制するためのSecurity2 Architectural Protocolのポインタを保持しています。これをゼロに設定することで、Secure Bootを無効化します。
  • 結果: Secure Bootが無効化されると、攻撃者はブートキットマルウェアをインストールでき、オペレーティングシステムからその存在を隠蔽し、さらなるセキュリティ機能をオフにすることが可能になります。

潜在的な影響

  • 影響の範囲: Secure Bootを信頼するほぼすべてのシステムが影響を受ける可能性があります。これにはPCやサーバーが含まれます。
  • セキュリティへの影響: Secure Bootの無効化により、システムはマルウェアのインストールやその他の悪意ある操作に対して脆弱になります。

推奨される対策

  1. dbxファイルの更新: MicrosoftとBinarlyは、影響を受けたモジュールのハッシュをSecure Bootのdbx無効化リストに追加しました。ユーザーは、すぐにこの更新をインストールしてデバイスを保護することが推奨されます。
  2. セキュリティアップデート: Microsoftの2025年6月のPatch Tuesdayのセキュリティ更新プログラムを通じて、更新されたdbxファイルをインストールしてください。
  3. 権限管理: システムの管理者権限を厳密に管理し、信頼できる者のみに権限を付与することが必要です。
  4. NVRAM変数の監視: セキュリティ製品や管理ツールを使用して、ユーザーが書き込み可能なNVRAM変数の異常な変更を監視することが推奨されます。

関連情報

  • 追加の脆弱性: 同日に、Nikolaj Schlejによって開示されたInsyde H2Oに基づくUEFI互換ファームウェアに影響を与える別のSecure Bootバイパス「Hydroph0bia」(CVE-2025-4275)が報告されました。この脆弱性も修正されました。