C
月内に
Microsoftの署名を受けた11個の古いLinux UEFI Shimアプリケーションに、Secure Bootをバイパスできる脆弱性
📌 一言でいうと
Microsoftの署名を受けた11個の古いLinux UEFI Shimアプリケーションに、Secure Bootをバイパスできる脆弱性が発見されました。攻撃者がこれらの脆弱なアプリケーションを悪用すると、システム起動時に信頼されていないコードを実行し、悪意のあるUEFIブートキットなどを展開できる可能性があります。この問題は、Microsoftの「Microsoft Corporation UEFI CA 2011」証明書を信頼しているほぼすべてのUEFIベースのマシンに影響します。
🔍該当判定
- 社内でLinux OS(Ubuntu, CentOS, Red Hatなど)をインストールしたPCやサーバーを運用している
- PCの起動設定で「セキュアブート (Secure Boot)」を有効にして利用している
- PCのBIOS/UEFI設定で、Microsoftのサードパーティ証明書 (Microsoft Corporation UEFI CA 2011) を信頼する設定になっている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. UEFI/BIOSファームウェアを最新バージョンに更新し、脆弱なShimを拒否するDBX(失効リスト)を適用すること。 2. Microsoftの新しいUEFI CA 2023への移行状況を確認すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linux UEFI Shim の Secure Boot バイパス脆弱性への対応について
お疲れさまです。UEFI ShimにおけるSecure Bootバイパスの脆弱性に関する情報共有です。
■ 概要
Microsoftの署名済みである古いLinux UEFI Shim(11種類)に脆弱性が存在し、これを利用してSecure Bootを回避し、ブートキット等の不正コードを起動時に実行される恐れがあります。影響は「Microsoft Corporation UEFI CA 2011」証明書を信頼するほぼ全てのUEFIデバイスに及びます。
■ 影響範囲
- Microsoft UEFI CA 2011 を信頼するUEFIベースのシステム
- 脆弱なバージョンのLinux Shimを利用している環境
■ 対応手順
1. マザーボード/サーバーのファームウェア(UEFI/BIOS)を最新版にアップデートし、最新のDBX(失効リスト)を適用してください。
2. OSレベルで最新のShimおよびブートローダーが適用されているか確認してください。
■ 参考情報
- ESET Research Report
対応優先度: 高
対応期限: 次回メンテナンス時まで
お疲れさまです。UEFI ShimにおけるSecure Bootバイパスの脆弱性に関する情報共有です。
■ 概要
Microsoftの署名済みである古いLinux UEFI Shim(11種類)に脆弱性が存在し、これを利用してSecure Bootを回避し、ブートキット等の不正コードを起動時に実行される恐れがあります。影響は「Microsoft Corporation UEFI CA 2011」証明書を信頼するほぼ全てのUEFIデバイスに及びます。
■ 影響範囲
- Microsoft UEFI CA 2011 を信頼するUEFIベースのシステム
- 脆弱なバージョンのLinux Shimを利用している環境
■ 対応手順
1. マザーボード/サーバーのファームウェア(UEFI/BIOS)を最新版にアップデートし、最新のDBX(失効リスト)を適用してください。
2. OSレベルで最新のShimおよびブートローダーが適用されているか確認してください。
■ 参考情報
- ESET Research Report
対応優先度: 高
対応期限: 次回メンテナンス時まで
Subject: [Security Advisory] Secure Boot Bypass via Vulnerable Microsoft-Signed Linux UEFI Shims
Dear IT/Security Team,
We are sharing information regarding a vulnerability in several old, Microsoft-signed Linux UEFI Shim applications that allows attackers to bypass Secure Boot.
■ Overview
Eleven old UEFI Shim applications signed by Microsoft can be abused to execute untrusted code during the system boot process. This enables the deployment of UEFI bootkits. The vulnerability affects any system trusting the 'Microsoft Corporation UEFI CA 2011' certificate.
■ Scope
- UEFI-based machines trusting the Microsoft Corporation UEFI CA 2011 certificate.
- Systems utilizing the affected legacy Linux Shim bootloaders.
■ Mitigation Steps
1. Update system firmware (UEFI/BIOS) to the latest version to ensure the DBX (revocation list) is updated to block vulnerable shims.
2. Ensure that the Linux bootloader and shim are updated to the latest secure versions.
■ Reference
- ESET Research Report
Priority: High
Deadline: Next scheduled maintenance window
Dear IT/Security Team,
We are sharing information regarding a vulnerability in several old, Microsoft-signed Linux UEFI Shim applications that allows attackers to bypass Secure Boot.
■ Overview
Eleven old UEFI Shim applications signed by Microsoft can be abused to execute untrusted code during the system boot process. This enables the deployment of UEFI bootkits. The vulnerability affects any system trusting the 'Microsoft Corporation UEFI CA 2011' certificate.
■ Scope
- UEFI-based machines trusting the Microsoft Corporation UEFI CA 2011 certificate.
- Systems utilizing the affected legacy Linux Shim bootloaders.
■ Mitigation Steps
1. Update system firmware (UEFI/BIOS) to the latest version to ensure the DBX (revocation list) is updated to block vulnerable shims.
2. Ensure that the Linux bootloader and shim are updated to the latest secure versions.
■ Reference
- ESET Research Report
Priority: High
Deadline: Next scheduled maintenance window