マイクロソフトに署名したファームウェアモジュールがセキュアーブートをバイパスするために発見され、攻撃者が幅広いWindowsラップトップとサーバーでこの重要なセキュリティ機能を静かに無効にすることができます。 2025年6月に開示されたこの脆弱性は、ターゲットマシンへの管理および物理的アクセスを必要とするにもかかわらず、重大な脅威をもたらします。
脆弱性は、コンピューターの起動中のハードウェア初期化の業界標準であるUnified Extensibleファームウェアインターフェイス(UEFI)にあります。 UEFIはオペレーティングシステムの前に動作し、OSレベルのセキュリティ防御がロードされる前にシステムを妥協しようとする攻撃者の主要なターゲットとなっています。研究者は、深刻な安全なブートバイパス欠陥の以前の発見によって実証されているように、UEFIの脆弱性にますます焦点を合わせてきました。
Binarlyの研究者は、2024年11月にウイルス合計に関する欠陥のあるモジュールを特定しました。伝えられるところによると、空港などの公共環境向けの頑丈なディスプレイに特化したベンダーによって開発されたモジュールには、CVE-2025-3052として追跡された脆弱性が含まれています。この脆弱性は、UEFIメモリの腐敗の問題に由来しています。 Microsoftのサードパーティ証明書で武装したこのモジュールは、攻撃者がセキュアーブートを実施するために使用される重要な変数を上書きできるようにすることができます。これは、オペレーティングシステムと同じレベルで悪意のあるソフトウェアがロードされないように設計されたUEFIセキュリティ機能です。
Binarly Researchチームは、モジュールがUEFI「Ihisiparambuffer」変数を読み取り、検証や正気のチェックなしで複数のメモリ書き込み操作のポインターとして使用することを発見しました。この検証の欠如により、攻撃者は「Ihisiparambuffer」変数をメモリ内の任意のアドレスに設定し、任意のメモリ書き込み機能を付与することができます。
「Ihisiparambuffer」変数は、ブーツ間に持続する必要がある変数を保存するために使用される不揮発性RAM(NVRAM)に保存されます。 NVRAM変数は、歴史的にセキュリティの脆弱性の繰り返しのソースでした。 2017年のウィキリークスの出版物は、CIAの浸透技術を詳細に説明し、機関がNVRAMを標的にしてシステムブートを制御することを明らかにしました。
一部のUEFI分布は、「Ihisiparambuffer」変数を読み取り専用として扱うため、この特定の攻撃の免疫がありますが、Binarlyは、システムの大部分が潜在的にリスクがあると述べました。さらなる調査により、モジュールは2022年10月からオンラインで流通している可能性があることが明らかになりました。
この脆弱性を成功させると、オペレーティングシステムが安全でない場合でも、セキュアーブーツが有効になっているかのように動作する可能性があります。 Binarlyから通知されると、Microsoftは同じ欠陥を持つ追加の13のファームウェアモジュールを発見しました。これに応じて、Microsoftは、6月のパッチ火曜日の更新の一環として、14のすべてのモジュールの証明書を取り消しました。
ISMGのアシスタントエディターであるPrajeet Nairがこのレポートに貢献しました。 Nairは、サイバーセキュリティとOT開発をカバーする10年以上の経験を持ち、さまざまなニュース組織で編集上の役割を果たしてきました。
要約すると、安全なブートをバイパスできるMicrosoftに署名したファームウェアモジュールの発見は、UEFIファームウェアの整合性を維持する際の継続的な課題を強調しています。脆弱性、CVE-2025-3052は、メモリの腐敗の欠陥を活用することにより、安全なブートを無効にすることを可能にします。攻撃には管理および物理的なアクセスが必要ですが、幅広いWindowsシステムへの潜在的な影響は重要です。すべての影響を受けるモジュールの証明書を取り消すことを含むMicrosoftの応答は、この脅威を緩和する上で重要なステップです。ただし、この事件は、UEFIファームウェアエコシステムにおける継続的な警戒と堅牢なセキュリティ対策の必要性を強調しています。
脆弱性により、攻撃者はSecure Bootを静かに無効にすることができます。これは、悪意のあるソフトウェアがブートプロセス中にロードされないように設計された重要なセキュリティ機能です。このバイパスは、ユーザーの知識なしに発生する可能性があり、オペレーティングシステムはマルウェアやその他の脅威に対して脆弱になります。
攻撃にはターゲットマシンへの管理者アクセスと物理的アクセスが必要ですが、潜在的な影響は重要です。これらの特権を備えた攻撃者は、脆弱性を活用して、永続的なマルウェアをインストールしたり、他の方法でシステムのセキュリティを妥協したりする可能性があります。
Microsoftは、2025年6月に脆弱性に対処するためにパッチを発行しました。このパッチは、影響を受けるモジュールの証明書を取り消すため、安全なブートをバイパスするために使用されないようにします。
脆弱性は、ブートプロセス中にハードウェアの初期化を担当する統合された拡張可能なファームウェアインターフェイス(UEFI)にあります。 UEFIの脆弱性は、オペレーティングシステムが開始される前に悪用される可能性があり、検出と防止が困難になるため、特に懸念されています。
Binarlyの研究者は、2024年11月にウイルス合計に関する欠陥のあるモジュールを発見しました。この発見は、脅威インテリジェンスの重要性と、潜在的に悪意のあるソフトウェアを特定する際のウイルス合計のようなプラットフォームの役割を強調しています。
このモジュールは、頑丈なディスプレイのベンダーによって開発され、脆弱性が産業および公共の環境で使用されるさまざまなデバイスに存在する可能性があることを示唆しています。これにより、セキュリティの必要性がサプライチェーン全体で優先事項となることが強調されています。
欠陥はCVE-2025-3052として追跡され、UEFIメモリの腐敗の脆弱性に由来しています。このCVE識別子により、セキュリティの専門家は脆弱性を効果的に追跡および修正することができます。
Microsoft証明書で署名されたモジュールにより、攻撃者はセキュアなブートのキー変数を上書きすることができます。重要なシステム設定を変更するこの能力は、脆弱性を非常に危険にしている理由です。
モジュールは、UEFI「Ihisiparambuffer」変数を読み取り、検証なしでメモリ書き込み操作のポインターとして使用します。この検証の欠如は、記憶腐敗の脆弱性の根本原因です。
攻撃者は、「ihisiparambuffer」変数を任意のメモリアドレスに設定し、メモリ内の任意の場所に書き込むことができます。この任意のメモリ書き込み機能を使用して、安全なブートを無効にしたり、他の悪意のあるアクションを実行したりできます。
一部のuefi分布は、「ihisiparambuffer」変数を読み取り専用として扱うため、免疫があります。これは、特定のセキュリティ構成がこの脆弱性のリスクを軽減できることを示しています。
モジュールは2022年10月からオンラインで流通している可能性があり、脆弱性がかなりの時間存在していることを示しています。これは、定期的なセキュリティの更新と脆弱性スキャンの重要性を強調しています。
オペレーティングシステムは、あたかもセキュアブーツがない場合でも有効になっているかのように動作する可能性があり、ユーザーが妥協を検出することを困難にします。この欺cept的な行動により、攻撃者は検出されずにシステムの持続性を維持できるようになります。
Microsoftは、同じ欠陥のある13の追加ファームウェアモジュールを見つけ、脆弱性の広範な性質を強調しました。この発見は、ファームウェアやその他の低レベルのソフトウェアの徹底的なセキュリティ監査の必要性を強調しています。
Microsoftは、6月のパッチ火曜日のアップデートで、14のすべてのモジュールの証明書を取り消しました。この取り消しにより、モジュールが安全なブートをバイパスするために使用されるのを防ぎ、脆弱性のリスクを効果的に軽減します。
この安全なブートバイパスの脆弱性の発見と修復は、最新のコンピューターシステムを保護する際の継続的な課題を強調しています。ファームウェアの脆弱性は、検出して防止するのが難しい可能性があるため、特に懸念されます。組織は、サプライチェーン全体でセキュリティを優先し、これらのタイプの攻撃から保護するために堅牢なセキュリティ対策を実装する必要があります。定期的なセキュリティの更新、脆弱性のスキャン、および脅威インテリジェンスは、ファームウェアの脆弱性のリスクを軽減し、安全なコンピューティング環境を維持するために不可欠です。
このインシデントは、ファームウェアからオペレーティングシステムおよびアプリケーションに至るまで、システムのあらゆるレベルで脆弱性に対処する必要性を層状にしたセキュリティの重要性を思い出させるものとして機能します。セキュリティに対する包括的なアプローチをとることにより、組織は妥協のリスクを減らし、重要な資産を保護できます。
この脆弱性とマイクロソフトの対応の発見は、セキュリティ研究者とベンダーの間の協力の重要性も強調しています。協力することにより、脆弱性をより迅速かつ効果的に特定し、修正することができ、コンピューティングエコシステムの全体的なセキュリティを改善できます。
この事件は、サードパーティの証明書のセキュリティと、それらを検証するために使用されるプロセスに関する疑問も提起します。影響を受けるモジュールの証明書のMicrosoftの取り消しは必要なステップですが、証明書の発行と管理に対する虐待の可能性とより強力な管理の必要性も強調しています。
