PC起動時のUEFIで表示されるロゴ画像を置き換えて任意のコード実行を可能にするエクスプロイト「LogoFAIL」が発見される、WindowsとLinuxが対象でどんなセキュリティもスルーしてしまう

WindowsあるいはLinuxを実行するデバイスの起動に関わるUEFIに発見された24個の脆弱(ぜいじゃく)性を攻撃するエクスプロイト「LogoFAIL」を、セキュリティ企業のBinarlyが発表しました。

Finding LogoFAIL: The Dangers of Image Parsing During System Boot | Binarly – AI -Powered Firmware Supply Chain Security Platform
https://binarly.io/posts/finding_logofail_the_dangers_of_image_parsing_during_system_boot/index.html

Just about every Windows and Linux device vulnerable to new LogoFAIL firmware attack | Ars Technica
https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/

LogoFAILの「Logo」は、UEFIを実行する時に画面に表示されるデバイスのロゴから来ています。LogoFAILは正規のロゴ画像を、これらのバグを悪用するために特別に細工されたロゴ画像に置き換えることで、DXE(Driver Execution Environment)と呼ばれるブートプロセスの最も機密性の高い段階で悪意のあるコードを実行することを可能にします。

実際にLogoFAILを再現している動画が以下。Binarlyの研究者は、「DXEの段階で任意のコード実行が可能になれば、プラットフォームのセキュリティはゲームオーバーです」と述べています。

Finding LogoFAIL: The Dangers of Image Parsing During System Boot - YouTube

悪意のあるロゴはデバイスが起動するたびに、DXEの段階で攻撃者が作成したコードをUEFIに実行させます。初期段階でコードを実行することで、エクスプロイトはその後のすべての実行フローを乗っ取り、セキュアブートなどのセキュリティ防御や、Intel Boot Guard、AMD Hardware-Validated Boot、ARM TrustZone-based Secure Bootなどのハードウェアベースの検証済みブートメカニズムを無視できるようになるというわけです。

この問題はAMI、Insyde、Phoenixなどの独立系BIOSベンダーが提供するUEFIを使うマザーボードに影響するとのこと。Dellなど多くのOEMはUEFIのロゴ変更を認めておらず、ロゴ画像のファイルもImage Boot Guardによって保護されているため、LogoFAILの影響を受けません。

システムインテグレーターがBIOSでブートイメージの書き換えを許可していない場合は問題ありませんが、マザーボードメーカーとOEMの両方がパッチを当てる必要があります。Binarlyは、「AMI、Insyde、Lenovoなどは勧告を発表していますが、影響を受ける企業の完全なリストはないため、自分のシステムが脆弱かどうかを確認するには、マザーボードメーカーに確認する必要があります」と述べています。

◆フォーラム開設中
本記事に関連するフォーラムをGIGAZINE公式Discordサーバーに設置しました。誰でも自由に書き込めるので、どしどしコメントしてください！Discordアカウントを持っていない場合は、アカウント作成手順解説記事を参考にアカウントを作成してみてください！

• Discord | "PCでBIOSやUEFI関連の問題に遭遇したことある？" | GIGAZINE(ギガジン)
https://discord.com/channels/1037961069903216680/1182242834145886238