「セキュアブートのセキュリティ機能のバイパスの脆弱性」対策、2024年10月の強制施行フェーズに備える:検証! Microsoft&Windowsセキュリティ(11)
Microsoftは2023年5月以降、セキュアブートのセキュリティ機能がバイパスされる脆弱性(CVE-2023-24932)への対策を段階的に進めています。2024年10月には、その対策は“強制施行フェーズ”となり、セキュアブートが有効な、サポート中のWindowsの全バージョンに対して脆弱性緩和策が強制されます。その影響と現時点でできる備えをまとめました。
「CVE-2023-24932」の脆弱性対策として行われる緩和策
Microsoftが2023年5月から段階的に実施している、Windowsの起動プロセスのセキュリティ強化は、「CVE-2023-24932」で追跡されている、「最大深刻度:重要」で「悪用の事実を確認済み」のセキュリティ機能がバイパスされる脆弱(ぜいじゃく)性の緩和策です。
UEFIセキュアブート(「Windows 11」の必須要件)のセキュリティ機能をバイパスする弱性であるため、「セキュアブート」が有効になっていないデバイスや対応していないデバイス(BIOSベースのファームウェア)には影響はありません。しかし、現代において、そもそも“セキュアブートが有効でないこと自体がセキュリティ上の弱点”である(ブート時に悪意のあるコードが読み込まれる可能性がある)ことに留意してください。
Microsoftは2024年10月8日(米国時間)のセキュリティ更新プログラムで、CVE-2023-24932の脆弱性緩和策の強制施行を予定しています。これまで実施されてきた緩和策は、「Windowsブートマネージャー」の更新、古いブートマネージャーを失効させるための「コード整合性ブートポリシー(SKUSiPolicy.p7b)」と、信頼されていないモジュールの読み込みをブロックする「禁止された署名リストデータベース(DBX)」の更新です。
2024年4月9日(米国時間)に予定されている3番目の展開フェーズでは、セキュリティ更新プログラムによって脆弱なブートマネージャーをブロックするための新しい緩和策が追加され、これは「システム修復ディスク」や「回復ドライブ」、企業における「OS展開ツール」(ブートメディアやPXEブートイメージ)などの起動可能メディアの更新を必要とします。
さらに、2024年10月の強制施行フェーズでは、コード整合性ブートポリシーとDBXが強制され、未対策の古い起動可能メディアを使用した起動がブロックされます(画面1)。
強制施行フェーズ後の影響はどうなる?
2024年10月に予定されている強制施行フェーズになると、セキュアブートが有効なデバイスは、問題の脆弱性の緩和策に対応していない起動可能デバイスからは起動できなくなります(画面2)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Windows 11登場! 11で変わること、思ったほど変わらないこと
新しいWindows OS「Windows 11」の正式出荷が2021年10月5日に開始された。Windows 10からの無償アップグレードが可能であるため、どのような新機能が実装されたのか気になる人も多いのではないだろうか。そこで、本稿ではWindows 11の新機能、削除された機能などを簡単にまとめてみた。
Windows 11一般提供開始、企業での導入/展開時に注意すべきポイントは?
MicrosoftはWindowsデスクトップOSの最新バージョンである「Windows 11」を正式にリリースし、Windows 11対応ハードウェアを搭載したWindows 10デバイスに対して、無料アップグレードの段階的なロールアウトを開始しました。
買って、試して分かったWindows 365(契約・セットアップ編)
Microsoftからクラウド上でWindows 10が動く「クラウドPC」の利用可能なサブスクリプションサービス「Windows 365」の提供が開始された。早速、サブスクリプションを契約し、クラウドPCの設定を行ってみた。契約からセットアップまでで見えてきた便利な点、不便な点などをまとめてみた。
いよいよ完全終了へ。Internet Explorer(IE)サポート終了スケジュール
長らくWindows OSに標準装備されてきたInternet Explorer(IE)。その「寿命」は各種サポートの終了時期に左右される。Windows OSごとにIEのサポート終了時期を分かりやすく図示しつつ、見えてきた「終わり」について解説する。