ポーランドのセキュリティ研究者であるDawid Potocki氏によって、290台以上のMSIマザーボードが、デフォルトでのUEFIセキュアブート設定が安全でないものになっており、署名が間違っているか欠けているにも関わらず、あらゆるOSイメージを実行できるようになった事が報告されている。同氏は、MSIに連絡してこの問題について知らせようとしたが、MSIからの回答はなかったようだ。
Potocki氏によると、この問題は、最近のファームウェアバージョンを使用している多くのIntelおよびAMDベースのMSIマザーボードに影響を与え、新品のMSIマザーボードモデルにも影響を与えるとのことだ。
UEFIセキュアブートとは?
セキュアブートとは、UEFIマザーボードのファームウェアに組み込まれたセキュリティ機能で、PC起動時に信頼できる(署名された)ソフトウェアだけが実行できるようにするものだ。
Microsoftによる説明は以下の通りとなっている。
セキュアブート対応PCでは、PC起動時に、ファームウェアがUEFIファームウェアドライバ(オプションROMとも呼ばれる)、EFIアプリケーション、OSなどの各ブートソフトウェアの署名をチェックします。
署名が有効であれば、PCは起動し、ファームウェアはOSに制御を委ねるようになっています。
なぜこのような仕組みがあるかというと、それは、PCの起動時に悪意のあるソフトウェアが読み込まれないためだ。UEFIブートキット/ルートキット(1、2、3)がコンピュータ上で起動するのを防ぎ、ベンダーがシステムを出荷した後に、オペレーティングシステムが改ざんされていることをユーザーに警告するために設計されている。
ブートローダーやOSカーネルなど、システムに不可欠なコンポーネントの安全性を検証するため、セキュアブートは起動のたびに、ソフトウェアを認証するPKI(公開鍵基盤)をチェックし、その有効性を判断しているのだ。
もし、ソフトウェアが署名されていなかったり、署名が変更されたりしていた場合、コンピュータに保存されているデータを保護するために、セキュアブートによってブートプロセスが停止されることで、コンピュータを保護する。
さて、この前提に立って今回の問題を見てみよう。
MSIのデフォルト設定が安全でないブートを引き起こす
Potocki氏は、2022年1月18日にリリースされたMSIのファームウェアアップデート版「7C02v3C」が、MSIマザーボードのデフォルトのセキュアブート設定を変更し、「セキュリティ侵害を検知してもシステムが起動してしまうようになった」と述べている。つまり、セキュアブートが意味をなさないのだ。
「sbctlの助けを借りて、新しいデスクトップにセキュアブートを設定することにしました。残念ながら、私のファームウェアは、それが信頼できるかどうかに関係なく、私が与えたすべてのOSイメージを受け入れていたことがわかりました」と、Potocki氏は説明する。
この変更は、ファームウェアの「イメージ実行ポリシー」設定が、デフォルトで「常に実行」になっており、どんなイメージでも通常通りデバイスを起動できるようにしてしまうようになっていることから引き起こされている。
上の画像からわかるように、セキュアブートが有効になっていても、「イメージ実行ポリシー」の設定が「常に実行」になっており、セキュリティ違反があってもシステムが起動できるようになってしまっているのだ。通常、ここは「実行拒否」になっているはずであり、この設定はあり得ないのだ。
つまり、信頼できないイメージを使用してもデバイスを起動できてしまうため、事実上セキュアブート機能を無効にしていることと同じ状態である。
Potocki氏は、ユーザーは「リムーバブルメディア」と「固定メディア」の実行ポリシーを「実行拒否」に設定し、署名済みのソフトウェアのみを起動できるようにする必要があると説明している。
また、Potocki氏によると、MSIはこのアップデート内容を文書化していなかったため、IFR(UEFI Internal Form Representation)を使って設定オプション情報を抽出し、安全でないデフォルトの導入を追跡する必要があったとのことだ。
Potocki氏は、この情報を使って、この問題の影響を受けるMSI製マザーボードを特定した。この安全でない設定の影響を受ける290台以上のマザーボードの完全なリストは、GitHubで入手できる。
このリストにあるMSIマザーボードを使用している場合は、BIOS設定に移動して、「イメージ実行ポリシー」が安全なオプションに設定されていることを確認しよう。
2022年1月以降、マザーボードのファームウェアをアップグレードしていない場合、ソフトウェアアップデートには重要なセキュリティ修正が含まれているため、行う事も推奨される。
Source
- Dawid Potocki: MSI’s (in)Secure Boot
- via Bleeping Computer: MSI accidentally breaks Secure Boot for hundreds of motherboards
