【投稿者コメント】

【キーワード】

[セキュアブートはON]､[失効の強制適用の前に]､[メディア再作成が必須]

【件名】

｢○の杜が問題山積の､BlackLotusブートキットの対策を報告したのは評価するが､推奨する対処として､Secure Bootを無効にしたら､それは､マルウェアに依るSecure Bootバイパスと同じだ／Secure Bootは無効にすべきじゃない／なぜ､一番の問題点のブートマネージャーの失効の強制適用の前に､起動可能なメディアとBackupデータの再作成を完了させる事が必須な事を明記しないのか｣

【投稿本文】

　Microsoftに依る問題山積の｢BlackLotusブートキットの対策｣については､ https://blognouser.hatenablog.com/entry/2023/05/11/130211 で詳述した｡

　下記の【以下転載】は､この｢BlackLotusブートキットの対策｣についての報告だが､以下の問題点がある｡

①最後の記述で､『｢BlackLotusブートキット｣の推奨する対処として､脆弱性の影響は受けないから｢Secure Boot｣を無効にしたらよい』としているが､それは､マルウェアに依る｢Secure Bootバイパス｣と同じ事だから､｢Secure Boot｣は無効にすべきじゃない！

②一番の問題点は､『ブートマネージャーの失効の強制適用の前に､起動可能なメディアとBackupデータの再作成を完了させる事が必須な事』を明記していない事だ！

③なぜ問題かと云うと､ブートマネージャーの失効の強制適用の後で､起動可能なメディアとBackupデータを再作成しようとしても､｢後の祭り｣で､もう､｢起動可能なメディア｣と｢Backupデータ｣は､もう作成出来ずに､Windowsが起動不可になれば､改修する手段が失われて､PC廃棄に追い込まれるからだ！

④Microsoftと敵対したら､広告宣伝料が得られずに､必要な情報も得られないからと云って､Microsoftに忖度して､Microsoftに都合の悪い情報をPCユーザへ隠蔽していたら､Microsoftの犯罪的悪行と同罪になる！

⑤｢○の杜｣は､一体､当該IT情報サイトの購読ユーザの方を向いているのか､それとも､Microsoftに忖度して､Microsoftに都合の悪い情報は､当該IT情報サイトの購読ユーザ＝PCユーザに伝えずに､隠蔽すると云う姿勢のどちらなのか？　後者だとしたら､幾ら､ITベンダーやITメーカーの製品のステマWebサイトと云えども､もう､誰も閲覧･参照などはしなくなるだろう！

【以下転載】

https://forest.watch.impress.co.jp/docs/news/1499327.html
｢MicrosoftがPCを乗っ取り秘密裏に操る｢BlackLotus｣ブートキットへの対策を順次展開／一部のデバイスのブート構成で問題を引き起こす可能性も｣

　　　　　　　　　　　　　　　　　　○の杜　樽井秀人　2023年5月10日 13:12

 

添付図１_同社のセキュリティガイダンス

　米Microsoftは5月9日(現地時間)､｢BlackLotus｣ブートキットによる｢Secure Boot｣バイパスの脆弱性(CVE-2022-21894)に対処する為のセキュリティガイダンスを公開した｡

　｢BlackLotus｣は､ハッキングフォーラムで販売されているUEFIブートキット｡

　UEFIのセキュリティ機能｢Secure Boot｣をバイパスし､OSの起動プロセスを完全に乗っ取る事が可能で､｢BitLocker｣や｢Windows Defender｣などのOSセキュリティ機能も解除できてしまう｡

　ユーザに存在を知られる事なく非常に高い権限で動作する上､簡単に削除されないように様々な細工を自ら施す点も厄介だ｡

　Microsoftはnで｢CVE-2022-21894｣への対策を実施済みだが､修正を完全に適用させるには､ブートマネージャーの取り消しが必要となる｡

　しかし､この処理は一部のデバイスのブート構成で問題を引き起こす事が懸念されている｡

　とはいえ､問題を放置すれば｢BlackLotus｣の暗躍を許す事につながりかねない｡

　そこで､2023年5月のセキュリティ更新プログラムにはこの問題に対処するWindowsブートマネージャーの取り消しが含まれている(CVE-2023-24932)｡

　既存環境への影響を避ける為既定では無効化されているが､同社はこの保護機能を3段階に分けて展開する考えだ｡

　現在のところ､展開は以下のスケジュールで実施される予定｡

・2023年5月9日：｢CVE-2023-24932｣に対する初期修正プログラムがリリース｡保護を機能させるにはユーザ側のアクションが必要

・2023年7月11日：2回目のリリースで保護の展開を簡略化する為のアップデートオプションを追加

・2024年第1四半期：最終リリースで｢CVE-2023-24932｣の修正をデフォルトで有効に｡ブートマネージャーの失効が強制される

　尚､デバイスで｢Secure Boot｣が無効になっている場合は､脆弱性の影響は受けない｡｢Secure Boot｣が有効かどうかは､｢msinfo32｣コマンドで確認可能｡｢コマンドプロンプト｣や[ファイル名を指定して実行]ダイアログなどから実行すればよい｡

 

添付図２_｢msinfo32｣コマンド

編集部のおすすめ記事：
・｢Microsoft､2023年5月の｢Windows Update｣を実施 ～既に悪用が確認されている脆弱性も｣
　https://forest.watch.impress.co.jp/docs/news/1499179.html

関連リンク：
・KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932-Microsoftサポート
　https://support.microsoft.com/ja-jp/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d

・Guidance related to Secure Boot Manager changes associated with CVE-2023-24932 | MSRC Blog | Microsoft Security Response Center
　https://msrc.microsoft.com/blog/2023/05/guidance-related-to-secure-boot-manager-changes-associated-with-cve-2023-24932/

・｢BlackLotus｣UEFIブートキット：今､そこにある現実の危機 | ESET
　https://www.eset.com/jp/blog/welivesecurity/blacklotus-uefi-bootkit/

関連記事：
・｢複数のUEFI実装に危険な脆弱性～最悪の場合バックドアなどが仕込まれたり､システムが起動不能に､2022年11月10日｣
　https://forest.watch.impress.co.jp/docs/news/1454552.html

レビュー：
・｢いざという時に役立つかも・・・マルウェアが破壊したOS機能を復旧するフリーソフト､2023年2月20日｣
　https://forest.watch.impress.co.jp/docs/review/1479957.html