BlackLotus：Windows 11のUEFIセキュアブートを回避する最初のブートキット

山口 Tacos

2023.03.02

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年3月2日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

BlackLotusはWindows 11のUEFIセキュアブートを回避する最初のブートキット

Security Affairs – Mar 01 2023 20:57

Windows 11のセキュアブートを回避することができるステルス性のUEFIブートキット「BlackLotus」をESETが発見。

セキュアブートとは「PC の起動 (ブート) 時に悪意のあるソフトウェアが読み込まれないように設計された重要なセキュリティ機能（参考：マイクロソフト）」だが、BlackLotusは完全に最新状態のWindows 11システムにおける同機能を回避する能力を持つ最初のUEFIブートキットであり、悪意あるアクターにAPT性能を授けているのだという。

BlackLotusは遅くとも2022年10月からハッキングフォーラム上で売りに出されており、売値は5,000ドル。また新たなアップデートが出るたびに、200ドルの支払いが必要。

Black Lotusはさまざまなセキュリティソリューション（Hypervisor-protected Code Integrity、BitLocker、Windows Defenderなど）やセキュリティ防御（UACやセキュアブートなど）をバイパスすることができ、多様な悪意ある行為の実行に使用される署名されていないドライバーをロードする性能を持つ。またバックドア性能も備えており、ITやOT環境を狙うために使用されることも考えられるという。

ESETの研究者によると、BlackLotusは脆弱性CVE-2022-21894を悪用してセキュアブートを悪用し、持続性を維持するそう。過去数年間でUEFIシステムのセキュリティに影響を与える脆弱性は多数発見されているものの、同研究者は「その多くが、修正後も長時間にわたって脆弱なまま放置されている」と述べている。

シスコ製IP電話シリーズの重大な脆弱性により、ユーザーへのコマンドインジェクション攻撃が可能に（CVE-2023-20078）

The Hacker News – Mar 02 2023 04:17

シスコが水曜日にセキュリティアップデートをリリースし、IP電話シリーズ製品（6800、7800、7900、8800）に影響を与える重大な脆弱性CVE-2023-20078に対処した。

CVE-2023-20078はコマンドインジェクションの脆弱性で、CVSSスコアは9.8/10。認証されていない遠隔の攻撃者は、Webベースの管理インターフェイスへ細工されたリクエストを送ることによりこの脆弱性を悪用する恐れがある。悪用が成功すると、任意のコマンドを注入し、最高レベルの権限でこれを実行することが可能になる。

また、シスコは同じ製品シリーズやCisco Unified IP Conference Phone 8831、Unified IP Phone 7900シリーズに影響を与える深刻度の高いDoSの脆弱性CVE-2023-20079にも対処。CVE-2023-20079（CVSSスコアは7.5/10）はDoS状態を引き起こすために悪用される恐れがある。

Aruba NetworksがArubaOSにおける重大な脆弱性6件を修正（CVE-2023-22747、CVE-2023-22748、CVE-2023-22749、CVE-2023-22750、CVE-2023-22751、CVE-2023-22752）

Bleeping Computer – Mar 01 2023 22:15

Aruba Networksが、複数バージョンのArubaOSにおける重大な脆弱性6件に関するセキュリティアドバイザリを公開。影響を受けるのは、Aruba モビリティ・コンダクター、Aruba モビリティ・コンダクター、Arubaが管理するWLANゲートウェイおよびSD-WANゲートウェイ。

6件のうち、CVE-2023-22747、CVE-2023-22748、CVE-2023-22749、CVE-2023-22750の4件はコマンドインジェクションの脆弱性で、CVSSスコアは9.8/10。認証されていない遠隔の攻撃者がUDP 8211番ポートへ特別に細工したパケットを送ることによりこれらの脆弱性を悪用すると、ArubaOSで特権ユーザーとして任意のコードを実行することが可能になる。

残りの2件（CVE-2023-22751、CVE-2023-22752）はスタックベースのバッファオーバーフローの脆弱性で、CVSSスコアは9.8/10。これら2件も、権限を持たない遠隔の攻撃者による任意のコード実行を可能にする。

影響を受けるのは、ArubaOS 8.6.0.19とそれ以前のバージョン、ArubaOS 8.10.0.4とそれ以前のバージョン、ArubaOS 10.3.1.0とそれ以前のバージョン、SD-WAN 8.7.0.0-2.3.0.8とそれ以前のバージョン。

Arubaによると、アドバイザリが公開された2月28日の時点で、これらの脆弱性に関する公の議論やエクスプロイトコード、悪用はいずれも認識されていないとのこと。

2023年3月2日

ハイライト

Iron Tigerのハッカーら、自身のカスタムマルウェアのLinux版を作成

Bleeping Computer – Mar 01 2023 18:44

2022年にReventicsで発生したRoyalの関与が疑われるランサムウェアインシデントが25万人以上の患者に影響する可能性、ダークウェブで一部のレコード流出

Medium Cybersecurity – Mar 01 2023 15:07

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。