時計は Windows および Linux ユーザーは、ファームウェア ベースの UEFI 感染からシステムを保護する暗号キーを更新する必要があります。UEFI 感染は、オペレーティング システムとマルウェア対策保護が開始される前に読み込まれる危険な形式のマルウェアです。
6 月 24 日以降、システム起動時にファームウェアとソフトウェアの各部分がロードされることを暗号的に検証する 3 つの証明書が期限切れになります。 Microsoft が署名した証明書は、Microsoft が設計した信頼のチェーンであるセキュア ブートの要です。セキュア ブートは、システムの起動時にロードされるすべてのファームウェアのデジタル署名をチェックして、システムが動作するマザーボードの製造元など、信頼できるプロバイダーからのものであることを確認します。
セキュア ブートは、BIOS の後継である Unified Extensible Firmware Interface を変更するマルウェアの一種である UEFI ブートキットを阻止するように設計されており、どちらも初期ブート シーケンスを開始します。これらのブートキットは OS やその他のほとんどのコードよりも前にロードされるため、検出が困難な場合があります。通常、インストールされると、マルウェアが OS にロードされ、資格情報を盗んだり、システムをバックドアしたり、その他の悪意のあるアクションを実行したりします。 OS が駆除された場合でも、ブートキットがシステムに再感染する可能性があります。ブートキットは OS の再インストール後も存続します。
ブートキットの簡単な歴史
ブートキットは 1980 年代初頭に始まり、ブート プロセス中に Apple II マシンを標的とするいくつかのマルウェアが作成されました。これらは、明らかに海賊版ゲームが含まれていたフロッピー ディスクを介して世の中に広まりました。
Windows Bootkit は、攻撃的セキュリティの研究者によって開発された概念実証として 2000 年代初頭に注目されました。 Bootroot は、2005 年の Black Hat セキュリティ カンファレンスでデモされたブートキットであり、おそらくこの種の最初の例です。このマルウェアは、TCP/IP ネットワーク アダプター ドライバーなどのサービスを有効にするネットワーク プロトコル ドライバー間の通信を調整するネットワーク ドライバー インターフェイスに感染しました。その後数年間、同様の POC に vbootkit、stoned bootkit、maybrute が含まれていました。他にもたくさんありました。
2012 年に、新しい形式のブートキットがリリースされました。このようなブートキットの 1 つは、BIOS やマスター ブート レコードを通じてマシンをターゲットにするのではなく、ブート プロセスを開始するファームウェア パッケージである EFI に感染することで Mac OS X システムを攻撃しました。 2 番目の非常に原始的なブートキットは、UEFI の前身である UEFI ブートキットに感染することで Windows 8 マシンをターゲットにしました。 2013 年頃、ある研究者が Dreambot と呼ばれる Windows 用のより高度な UEFI ブートキットを実証しました。
UEFI をターゲットとした実際の攻撃の最初の既知のケースは、2018 年に Lojax と呼ばれるマルウェアの発見とともに発生しました。 LoJack として知られる正規の盗難防止ソフトウェアの再利用バージョンは、クレムリンが支援するハッカー グループによって作成され、Sednit、Fancy Bear、APT28 などの名前で追跡されていました。このマルウェアは、UEFI ファームウェアのフラッシュ メモリの一部を読み取り、上書きできるマルウェア ツールを使用してリモートからインストールされました。
2020 年、研究者たちは、UEFI を攻撃する現実世界のマルウェアの 2 番目の既知の例を発見しました。感染したデバイスが再起動するたびに、UEFI は Windows スタートアップ フォルダーに悪意のあるファイルが存在するかどうかを確認し、存在しない場合はそのファイルをインストールします。このマルウェアを発見したセキュリティプロバイダーKasperskyの研究者らは、これを「MosaicRegressor」と名付けた。研究者らは、侵害された UEFI がどのようにして感染したのかをまだ特定していません。それ以来、いくつかの新しい UEFI ブートキットが登場しました。これらは、eSpectre、FinSpy、Moonbounce などの名前で追跡されます。
必要は発明の母
UEFI ブートキットのより陰湿な脅威に対応して、Microsoft はデバイス メーカーと協力してセキュア ブートを開発しました。セキュア ブートは、暗号化署名を使用して、起動時に読み込まれる各ファームウェアがコンピューターのメーカーによって信頼されていることを確認する業界標準です。セキュア ブートは、攻撃者が意図したブートアップ ファームウェアを悪意のあるファームウェアに置き換えることを防ぐ信頼のチェーンを作成するように設計されています。起動チェーン内の 1 つのリンクでも認識されない場合、セキュア ブートによりデバイスは起動できなくなります。
そして 2023 年に、研究者たちは、世界中のほぼすべての Windows および Linux システムの UEFI ブートで見つかった一連の重大な脆弱性である Logofail を発見しました。起動時にハードウェア メーカーのロゴをレンダリングするソフトウェアの画像解析バグにより、攻撃者がセキュア ブートをバイパスし、悪意のあるファームウェアで UEFI を感染させることができました。
Leave a Reply