Binarlyは2月1日(米国時間)、「An In-Depth Look at the 23 High-Impact Vulnerabilities」において、UEFIファームウェアに23個の脆弱性を発見したと伝えた。対象の脆弱性を悪用されると、オペレーティングシステムを再インストールしても消去することのできないマルウェアを仕込むことが可能になるとされており注意が必要。影響を受けるパソコンやデバイスの数は相当数に上ると見られるうえ、修正が行き渡るまでかなり長い時間がかかると懸念されている。
-
An In-Depth Look at the 23 High-Impact Vulnerabilities
BinarlyはInsyde SoftwareのInsydeH2O UEFIファームウェアに23個の脆弱性が存在すると指摘。脆弱性はCVSSスコアで7.5から8.2の重要(High)と評価されている。影響を受けるベンダーとしては富士通、Siemens、Dell、HP、HPE、Lenovo、Microsoft、Intel、Bull Atosなどが挙げられている。ほかにも影響を受けるベンダが存在する可能性もある。
多くのマルウェアはオペレーティングシステムの再インストールによってクリーンアップすることができるが、今回指摘されたUEFIファームウェアの脆弱性を利用された場合、攻撃者はオペレーティングシステムの再インストールにも耐え、さらにエンドポイントセキュリティソリューション、セキュアブート、仮想化ベースセキュリティ分離なども回避することができると指摘されている。
発見された脆弱性は既にパッチがリリースされているものの、影響を受けるデバイスに修正パッチが適用されるまではかなりの時間がかかる点が懸念される。今後この脆弱性を悪用したサイバー攻撃がどの程度発生するか、今後の動向に注意する必要がある。
