公開日:2015/01/06 最終更新日:2015/01/06

JVNVU#91050570
複数の UEFI システムにおいて EFI S3 Resume Boot Path で使われる boot script が適切に保護されていない問題

概要

複数の UEFI システムでは、EFI S3 Resume Boot Path で使用される boot script へのアクセスを適切に制限していません。

影響を受けるシステム

影響を受けるシステムは複数存在します。詳しくは開発者が提供する情報や CERT/CC Vulnerability Note VU#976132 の Vendor Information に掲載されている情報を参照してください。

詳細情報

MITRE の Rafal Wojtczuk 氏および Corey Kallenberg 氏は次のように述べています。

"During the UEFI S3 Resume path, a boot script is interpreted to re-initialize the platform. The boot script dictates various memory and port read/write operations to facilitate this re-initialization. The boot script is interpreted early enough where important platform security mechanisms have not yet been configured. For example, BIOS_CNTL, which helps protects the platform firmware against arbitrary writes, is unlocked. TSEGMB, which protects SMRAM against DMA, is also unlocked.

Given this, the boot script is in a security critical position and maintaining its integrity is important. However, we have discovered that on certain systems the boot script resides in unprotected memory which can be tampered with by an attacker with access to physical memory."
(UEFI S3 Resume path では、プラットフォームの再初期化のために boot script が使用されます。boot script には再初期化のための様々なメモリやポートへの読み書き操作が書かれており、boot script が実行されるときにはプラットフォームのセキュリティ設定は十分になされてはいません。たとえば、ファームウェアへの書き込みを制限する BIOS_CNTL はロックされていません。同様に DMA による SMRAM への書き込みを制限する TSEGMB もロックされていません。

boot script はセキュリティ上重要な存在であり、完全性を保つ必要があります。しかし我々は、特定のシステムにおいて boot script が保護されていないメモリ領域に置かれ、物理メモリへのアクセス権を持つ攻撃者によって改ざん可能であることを発見しました。)

想定される影響

システムに物理アクセス可能なユーザによって Secure Boot をバイパスされる可能性があります。また、ファームウェア更新に適切な電子署名を要求する設定にしていても、ファームウェアを任意の内容に書き換えられる可能性があります。さらに、SMRAM 領域の内容を取得されたり書き換えられたりする可能性や、ファームウェアを破壊されてシステムを動作不能な状態にされる可能性があります。

対策方法

開発者が提供する情報や CERT/CC Vulnerability Note VU#976132 の Vendor Information に掲載されている情報を参考に、対策方法を検討してください。CERT/CC では、引き続き UEFI に関する脆弱性について開発者との調整を進めています。

ベンダ情報

ベンダ リンク
Intel Corporation INTEL-SA-00041 - BIOS Security Updates for Multiple Issues

参考情報

  1. CERT/CC Vulnerability Note VU#976132
    Some UEFI systems do not properly secure the EFI S3 Resume Boot Path boot script
  2. Intel Corporation
    EFI Boot Script Specification v0.91

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2015.01.06における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) 物理アクセスやローカル環境から攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に複雑な条件が必要
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 全ての情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが全面的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用が全面的に阻害される

Base Score:6.2

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2014-8274
JVN iPedia