本ブログは、Guidance related to Secure Boot Manager changes associated with CVE-2023-24932 の抄訳版です。最新の情報は原文を参照してください。
概要
本日、マイクロソフトは、 CVE-2022-21894 を悪用する BlackLotus ブートキットが使用するセキュアブートバイパスの脆弱性に対処するために、 CVE-2023-24932 および、構成ガイダンスを公開しました。お客様は、この脆弱性から完全に保護するために、構成ガイダンスに厳密に従う必要があります。
この脆弱性は、セキュア ブートが有効になっている場合、攻撃者に、Unified Extensible Firmware Interface (UEFI) レベルでの自己署名コードを実行可能とします。これは、主に永続化および防御回避メカニズムとして脅威アクターによって使用されます。悪用の成功は、攻撃者が標的のデバイスに対する物理的なアクセスまたはローカル管理者権限を持っていることに依存します。
この攻撃から保護するために、Windows ブート マネージャー(CVE-2023-24932) の修正プログラム が 2023 年 5 月 9 日 (米国時間) のセキュリティ更新プログラム リリースに含まれています。しかし、既定では無効になっており、保護された状態ではありません。お客様は、この更新プログラムを有効にする前に、手動で手順を慎重に実行し、起動可能なメディアを更新した上で、失効を適用する必要があります。
この変更の適用にあたり、セキュア ブートを利用しているお客様と業界パートナーへの影響を軽減するために、3 つのフェーズで段階的に保護を強制します。
- 2023 年 5 月 9 日 (米国時間): CVE-2023-24932 の初期修正をリリースします。 このリリースでは 2023 年 5 月 9 日 (米国時間) の Windows セキュリティ 更新プログラムと、完全に保護するためにお客様の追加のアクションが必要です。
- 2023 年 7 月 11 日 (米国時間): 2 番目のリリースでは、保護の展開を簡略化するための追加のオプションを提供します。
- 2024 年 第 1 四半期: この最終リリースでは、CVE-2023-24932 の修正がデフォルトで有効になり、すべての Windows デバイスでブートマネージャーの失効が強制されます。
これらのタイムラインを何らかの理由で変更する場合、このブログを更新します。
なぜマイクロソフトはこの脆弱性に対処するために段階的なアプローチを取っているのですか?
セキュアブート機能は、オペレーティングシステムの起動時にロードできるブートメディアを正確に制御します。この修正が適切に有効になっていないと、システムが起動しない可能性があります。以下のドキュメントで、現時点での潜在的な影響を抑えるための実装とテストのガイダンスを提供しており、今後のリリース計画によって、混乱なく展開の簡素化をすることができます。
Microsoft Windows セキュア ブート ガイダンスに従って、CVE-2023-24932 の修正プログラムを実装してください。
セキュアブートを使用しているかどうかをお客様はどのようにして知ることができますか?
Windows コマンド プロンプトから、msinfo32 と入力します。Secure Boot State が On と表示されている場合、セキュアブートを使用しています。
注 : セキュアブートが有効になっていない場合、公開されている脆弱性によってもたらされる追加のリスクはなく、追加の手順を実行する必要ありません。セキュア ブートを使用して、改ざんやブートキット クラスの悪用からシステムを保護し、最新の Windows 更新プログラムでシステムを最新の状態に保つことをお勧めします。セキュア ブートの利点の詳細については、「セキュア ブートとトラステッド ブート」を参照してください。
謝辞
SentinelOne 社の Tomer Sne-or 氏と ESET 社の Martin Smolár 氏からの報告によってサービスを強化することができた機会に感謝します。また、Microsoft バグ報奨金プログラム の条件に基づいて安全なセキュリティ調査を実践してくれたことに感謝します。すべての研究者は、協調脆弱性開示(CVD) の下でベンダーと協力し、セキュリティ調査を実施している間に顧客データに影響を与えないように、侵入テストの契約規則を遵守することをお勧めします。
参照
- 詳細については、CVE-2023-24932 の Windows セキュア ブート ガイダンスを参照してください。
- CVE-2022-21894 を使用した攻撃を調査するために関するガイダンス: The BlackLotus campaign
- CVE-2022-21894 および CVE-2023-24932 の詳細については、セキュリティ更新プログラム ガイドを参照してください。
- 製品に関するサポートが必要なお客様は、https://support.microsoft.com/contactus で Microsoft 宛にサポート ケースを起票ください。
更新履歴
- 2023 年 5月 10 日 本ブログを公開いたしました。
- 2023 年 5月 10 日 第2 フェーズ の日付を修正いたしました。