Lenovoの一部製品にBIOSレベルの脆弱性 - 供給元に起因と説明

Lenovoの一部端末において、BIOSレベルの脆弱性が含まれていることがわかった。同社では調査を進めている。

セキュリティ研究者がゼロデイ脆弱性としてGithub上で報告し、ローカルアクセス権限を持つ攻撃者によってシステムマネジメントモード（SMM）でコードを実行されるおそれがあることが判明したもの。

同研究者は、ThinkPadで脆弱性を確認したとし、脆弱性を悪用すると、「Windows 10 Enterprise」においても、書き込み保護を無効化、セキュアブートの無効化、バーチャルセキュアモード（VSM）のバイパス、ファームウェアへのマルウェア感染などが可能になると指摘した。

これを受けてLenovoでは、研究者と協調しつつ独自にも調査を進めていると説明。同社は、外部ベンダー3社よりBIOSの供給を受けているが、BIOSのファームウェアの開発を手がける独立系のベンダー1社のBIOSに脆弱なシステムマネジメントモード（SMM）のコードが存在したとしている。

問題のシステムマネジメントモードは、ベンダーがIntelから提供された共通のコードベースをもとに開発されたものであると説明。Lenovoでは、今回問題となったSMMのコードを開発しておらず、コードの作成者や実装された経緯を調べているという。

Lenovoは、BIOSベンダーやIntelと脆弱性の修正に向けて作業を行っており、修正版の開発を急いでいる。

（Security NEXT - 2016/07/07 ）ツイート