Microsoft、セキュア ブートの迂回攻撃を防止するセキュリティパッチを再リリース

更新プログラム「KB4535680」

　米Microsoftは1月12日（現地時間、以下同）、“セキュア ブート”のセキュリティ機能をパイパスする脆弱性を解決した更新プログラム「KB4535680」をリリースした。同社は昨年2月、同様の目的で「KB4524244」をリリースしたが、トラブルが見つかったため直後に撤回されていた。

　UEFIベースのWindowsデバイスには“セキュア ブート”と呼ばれる仕組みが備わっており、未検証の信頼できないブートローダーやカーネルの読み込みをブロックすることで不正アクセスを防止できる。ところが昨年、特別に細工されたアプリケーションを実行することでこの仕組みをバイパスする脆弱性（CVE-2020-0689）が発見された。そこで同社は2月、スタンドアロンの更新プログラム「KB4524244」をリリースしてこの脆弱性への対処を行った。

　しかし、このパッチをインストールした一部の環境でトラブルが発生。“この PC を初期状態に戻す”（Push Button Reset、PBR）機能が正常に動作しなくなるケースも報告されたため、公開停止となっていた。

　今回リリースされた「KB4535680」では、こうしたトラブルが解決されている。“セキュア ブート”をバイパスする脆弱性は、問題のあるUEFIモジュールが読み込まれないよう禁止署名データベース（DBX）に登録することで対処されているとのこと。x86版とARM64版のWindowsには影響しないため、パッチは以下のx64版Windowsにのみ提供される。

• Windows Server 2012（64bit版）
• Windows Server 2012 R2（64bit版）
• Windows 8.1（64bit版）
• Windows Server 2016（64bit版）
• Windows Server 2019（64bit版）
• Windows 10 バージョン 1607（64bit版）
• Windows 10 バージョン 1803（64bit版）
• Windows 10 バージョン 1809（64bit版）
• Windows 10 バージョン 1909（64bit版）

　インストールは“Windows Update”や“Windows Server Update Services（WSUS）”から自動で行える。“Microsoft Update カタログ”からパッチを入手して適用することもできるが、その際はあらかじめ最新のサービススタック更新（SSU）がインストール済みであることを確認したい。

　なお、トラブルを起こしていた「KB4524244」はすでに削除されており、“Windows Update”や“WSUS”、“Microsoft Update カタログ”から再提供されないようになっている。このパッチはスタンドアロンとなっており、累積更新プログラム（LCU）や月例ロールアップなどには含まれておらず、アンインストールしても問題はない。