🛡 概要
アメリカのコンピュータメーカー、フレームワークが出荷した約20万台のLinuxシステムは、署名されたUEFIシェルコンポーネントに脆弱性があり、セキュアブートの保護をバイパスされるリスクがあります。この脆弱性を悪用されると、OSレベルのセキュリティ制御を回避し、OSの再インストールを超えて持続するブートキット(例:BlackLotusやHybridPetya)が読み込まれる可能性があります。
🔍 技術詳細
フレームワークが出荷するシステムに含まれるUEFIシェルには、’memory modify’(mm)コマンドが含まれており、これが問題の根源です。このコマンドはシステムメモリへの直接的な読み書きアクセスを提供し、低レベルの診断やファームウェアのデバッグに使用されますが、セキュアブートの信頼チェーンを破るためにも利用される可能性があります。具体的には、gSecurity2変数をターゲットにすることで、署名検証を無効にすることができます。エクリプシウム社によると、mmコマンドはセキュリティハンドラポインタをNULLで上書きし、以降のモジュール読み込みに対する署名検証を無効にします。
⚠ 影響
この問題は、フレームワークのモジュラー設計のノートPCやデスクトップに広がっており、約20万台のシステムが影響を受けています。フレームワークはこの問題を知り、脆弱性の修正に取り組んでいますが、影響を受けるユーザーは、修正が提供されるまでの間、物理的なアクセスを防ぐなどの二次的な保護措置を講じることが重要です。現在のところ、フレームワークのDBキーをBIOS経由で削除することが一時的な緩和策として推奨されています。
🛠 対策
影響を受けるユーザーは、利用可能なセキュリティアップデートを適用することが強く推奨されます。フレームワークは、いくつかのモデルに対して修正を計画しており、例えば、Framework 13(11世代Intel)は3.24で修正予定、12世代Intelは3.18で修正済み、13世代Intelは3.08で修正済みです。今後のDBXアップデートも重要です。これらの修正が完了するまで、ユーザーは物理的なセキュリティを強化し、リスクを軽減するための適切な措置を講じるべきです。
