セキュリティ企業ESETは火曜日、レノボの一般向けノートパソコン100種類以上のモデルに複数のUEFIの脆弱性を発見したと発表した。これらの脆弱性はノートパソコンのファームウェアを更新することで修正できるという。
影響を受けるノートパソコンの全リストには、Ideapad-3、Legion 5 Pro-16ACH6 H、Yoga Slim 9-14ITL0が含まれています。ESETはこの脆弱性を昨年末に発見しました。その後、Lenovoはパッチの開発に取り組み、メーカーのウェブサイトで公開しました。ESETは、これらの脆弱性が実際に悪用されているかどうかについては言及していません。
ESETによると、具体的には、これら3つの異なる脆弱性により、攻撃者は保護されたブート設定またはファームウェア自体を変更することが可能となり、その変更はオペレーティングシステムの再インストール後も有効のままとなる。「UEFIの脅威は非常にステルス性が高く、危険です」と同社は述べている。「これらの脅威は、ブートプロセスの初期段階、つまりオペレーティングシステムに制御を移す前に実行されるため、OSペイロードの実行を阻止できる上位層のセキュリティ対策や緩和策をほぼすべて回避できるのです。」
SMI ハンドラー コードの 3 番目の脆弱性により、ローカル アクセスと昇格された権限を持つ攻撃者が任意のコードを実行し、マシンを制御できるようになる可能性があります。
この問題を解決するため、Lenovoはユーザーにサポートサイト(support.lenovo.com)へのアクセスを推奨しています。このサイトはpcsupport.lenovo.comに解決されます。(ノートパソコンメーカーは、この脆弱性に対処するために専用のWebページを公開しており、この情報に加え、補足情報も掲載されています。)
そこで、Lenovo では次の手順を実行するようお願いしています。
- 製品名または機械タイプで製品を検索します。
- 左側のメニュー パネルで[ドライバーとソフトウェア] をクリックします。
- コンポーネント タイプ別に参照するには、[手動更新]をクリックします。
- 最後のステップでは、影響を受ける製品のリストでラップトップのモデルを見つけ、ダウンロードするファームウェアが Lenovo が公開したファイルと一致していることを確認するだけです。
ただし、落とし穴があります。ESETによると、この脆弱性の影響を受ける複数のノートパソコンは、開発サポート終了(EODS)に近づいているため、パッチが適用されません。「これには、脆弱性が初めて報告されたデバイス、Ideapad 330-15IGMとIdeapad 110-15IGRが含まれます。ESETが特定できたこれらのEODSデバイスのリストは、ESETの脆弱性開示リポジトリで公開されます。」
「脆弱性の影響を受け、修正プログラムが提供されていない開発サポート終了(EODS)デバイスを使用している場合、UEFIセキュアブート状態の不必要な変更から保護するのに役立つ1つの方法は、UEFIセキュアブート構成が変更された場合にディスクデータにアクセスできないようにすることができるTPM対応のフルディスク暗号化ソリューションを使用することです」とESETは書いている。
著者: マーク・ハッハマン、PCWorld シニア編集者
マークは過去10年間、PCWorldに寄稿しており、テクノロジー分野で30年の経験があります。PCWorldだけでも3,500本以上の記事を執筆しており、PCマイクロプロセッサ、周辺機器、Microsoft Windowsなど、幅広いトピックを扱っています。PC Magazine、Byte、eWEEK、Popular Science、Electronic Buyers' Newsなどの出版物にも寄稿しており、Electronic Buyers' Newsでは速報ニュースでジェシー・H・ニール賞を受賞しました。最近、オフィスのスペースが足りなくなったため、数十台のThunderboltドックとUSB-Cハブを寄贈しました。
