ESETは1月16日(現地時間)、「Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344」において、署名されUEFI(Unified Extensible Firmware Interface:たユニファイド・エクステンシブル・ファームウェア・インタフェース)アプリケーションからUEFIセキュアブートをバイパスできる脆弱性を発見したとして、注意を呼び掛けた

  • Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344

    Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-7344 - 一部のUEFIアプリケーションには署名されていないソフトウェアをロードして実行するコードが含まれている。攻撃者は署名されていないソフトウェアを悪意のあるソフトウェアに差し替えることで、起動時にセキュアブートを回避して任意のコードを実行できる(CVSSスコア: 6.5)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • Howyar SysReturn 10.2.023_20240919よりも前のバージョン
  • Greenware GreenGuard 10.2.023-20240927よりも前のバージョン
  • Radix SmartRecovery 11.2.023-20240927よりも前のバージョン
  • Sanfong EZ-back System 10.3.024-20241127よりも前のバージョン
  • WASAY eRecoveryRX 8.4.022-20241127よりも前のバージョン
  • CES NeoImpact 10.1.024-20241127よりも前のバージョン
  • SignalComputer HDD King 10.3.021-20241127よりも前のバージョン

この脆弱性は上記アプリケーションを使用している環境のみが影響を受けるわけではない。攻撃者はこれらアプリケーションの脆弱なバイナリーをコピーして悪用することが可能で、Windowsのローカル管理者またはLinuxのroot権限を持つ攻撃者は、任意のUEFIシステムに対してこの脆弱性を悪用することができる。

対策

この脆弱性は、これらUEFIアプリケーションの署名(Microsoft Corporation UEFI CA 2011)を失効させることで影響を軽減可能。Microsoftは2025年1月14日にリリースしたセキュリティ更新プログラムにおいて署名を失効させており、すべてのWindowsユーザーには更新プログラムをインストールすることが推奨されている。

ESETはLinuxなど他のオペレーティングシステムを運用しているユーザー向けに、脆弱性の影響を受けるか確認する手順を公開している。また、影響を受けるLinuxユーザーは「Linux Vendor Firmware Service(LVFS)」からアップデートを入手できるとしている。

最後に、ESETは同様の脆弱性が2年前にも発見されていることに触れ、脆弱なアプリケーションがMicrosoftの検査を容易にパスして署名される現状に疑問を投げかけている。