Windowsのセキュアブートをすり抜ける「UEFIブートキット」への一歩進んだ対策、施行フェーズに備えて現時点での副作用を知る：検証！ Microsoft ＆ Windowsセキュリティ（1）

本連載では、主にMicrosoftの製品およびサービスに実装されたセキュリティ機能や、更新プログラムなどによって実施されたセキュリティ強化策について検証し、可能な場合は具体的な影響例を示します。第1回は、2023年5月のセキュリティ更新プログラムで初期展開フェーズが始まったセキュアブートに関わる脆弱性対策を解説します。

[山市良，テクニカルライター]

検証！　Microsoft＆Windowsセキュリティ

2023年5月のセキュリティ更新に含まれていた3つの重大な脆弱性への対応

　2023年5月のセキュリティ更新プログラムには、最大深刻度「重要」の以下の3つの脆弱（ぜいじゃく）性問題に対する修正が含まれています。

1. Win32kの特権の昇格の脆弱性（CVE-2023-29336）
2. セキュアブートのセキュリティ機能のバイパスの脆弱性（CVE-2023-24932）
3. Windows OLEリモートコード実行の脆弱性（CVE-2023-29325）

　（1）（2）は悪用の事実が確認されているゼロデイ攻撃の脆弱性であり、早急な適用を呼び掛ける記事を見た方も多いでしょう。これらの脆弱性は、広範囲のWindows OSに存在するもので、製品ライフサイクルサポート期間中の全てのWindowsに対し、累積的な更新プログラムに含める形で修正されました。おそらく、更新プログラムが提供されていない多くのレガシーなWindows OSにも、関連する機能（例えば「セキュアブート」など）を備えているのであれば、同じ脆弱性が存在し、そして放置されていることになります。

　また（2）の「セキュアブートの脆弱性」は、Linuxも影響を受けるものであり、Linuxを利用している場合はLinux側での対応が必要です（WindowsとLinuxのマルチブートは注意が必要です）。

セキュアブートの脆弱性への対応はまだ初期展開フェーズ、完全対策は先送り

　ゼロデイ脆弱性には、更新プログラムのインストールで対策されますが、それだけでは不十分なこともあります。例えば、Microsoftはこれまでも「セキュアブートのセキュリティ機能のバイパスの脆弱性」への対策として、「Windowsブートマネージャー（Bootmgr）」を更新してきました（「BlackLotus」UEFIブートキットとして知られるCVE-2022-21894などへの対応として）。

　しかし、影響を受けるバイナリ（有効な署名のある古いWindowsブートマネージャーのバイナリ）が「UEFI失効リスト」に追加されてこなかったため、対策済みのデバイスでもこの脆弱性を悪用できる場合があったようです。

　今回、2023年5月の「セキュアブートのセキュリティ機能のバイパスの脆弱性」への対策は、これまでとは少し異なります。2023年5月の更新プログラムのインストール直後時点では、まだこれまでの対策と同じように、Windowsブートマネージャーが更新されるだけです。これはまだ初期展開フェーズであり、CVE-2023-24932に対する保護は完全には有効にはなっていません（画面1）。