DellのAlienware、Inspiron、Latitude製品の多くに使用されているBIOSに、5つの新たなBIOSセキュリティ脆弱性が発見されました。The Hacker Newsがまとめ、セキュリティ企業Binarlyが一部発見したこれらの脆弱性により、攻撃者が潜在的に有害なコードを実行できる可能性があります。
CVE-2022-24415、CVE-2022-24416、CVE-2022-24419、CVE-2022-24420、CVE-2022-24421 として追跡されており、National Vulnerability Database のスケールでは、最も高い重大度レベルは 8.2 (高) です。
脆弱性の影響を受けるモデルには、Alienware 13、15、17ノートパソコン、Edge Gateway 3000および5000サーバー、Inspironノートパソコンおよびオールインワン、Vostroノートパソコンおよびデスクトップ、Embedded Box PC 3000および5000、Wyse 7040シンクライアント、XPS 8930デスクトップが含まれます。Dellサポートウェブサイトでは、ファームウェアアップデートへのリンクとともに、製品の全リストをご覧いただけます。
これらのエクスプロイトはすべて、x86マイクロコントローラのシステム管理モード(通常は電源管理や温度管理などを担当)を悪用します。このコードは通常、メーカーが独自に開発したもので、最高権限レベルで実行され、オペレーティングシステムとTPMチップ(インストールされている場合)の両方から参照できません。そのため、エクスプロイト攻撃に利用されやすく、ファームウェアベースのルートキットを展開するのに利用される可能性があります。ただし、攻撃を開始するには悪意のあるユーザーがローカル認証を受ける必要があるため、PCへの物理的なアクセスが必要になる点に注意してください。
Binarlyの説明によると、BIOSは複雑なものであり、攻撃に利用される可能性のあるすべての穴を塞ぐことは困難です。「これらの不具合は、コードベースの複雑さ、あるいはセキュリティ面での注目度が低いにもかかわらず、依然として現場で広く使用されているレガシーコンポーネントのサポートに直接起因しています。多くの場合、同じ脆弱性は複数回の反復作業を経て修正できますが、それでも攻撃対象領域の複雑さは、悪意のある攻撃に利用される隙間を残しています。」
「ソースコード解析に利用可能なエンタープライズツールの大部分は、ファームウェア固有のセキュリティ欠陥を特定するのに適していません」とBinarlyは続けます。「理由は複数ありますが、最も明白な理由の一つは、メモリ管理機能の実装がファームウェア非依存のソフトウェアと異なることです。そのため、ソースコードレベルで脆弱性が検出されない場合でも、セキュリティが確保されているという誤った認識につながります。」
Dellは、影響を受けるコンピュータのBIOSアップデートを直ちにダウンロードすることを推奨しています。BinarlyはDellの迅速な対応を称賛し、「問題の報告からパッチリリースまで約3か月かかりましたが、他のベンダーでは通常6か月近くかかります」と述べています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
イアン・エヴェンデンは、英国を拠点とするTom's Hardware USのニュースライターです。彼はどんなテーマでも執筆しますが、特にRaspberry PiとDIYロボットに関する記事が彼の目に留まることが多いようです。
