アカウント名:
パスワード:
自作PC用マザーボードのBIOSを更新する方法として最も一般的なものは、更新用のファイルをUSBメモリーに入れ、BIOS内の更新機能を使用するものですが、いくつかのメーカー(ASRockやASUS)はBIOS内の更新用プログラムがインターネット上から直接更新ファイルを取得して更新を行うという機能を実装しています。
一見便利に見えるこの機能ですが、肝心の実装がとても酷いので使ってはいけません。
Eclypsiumというファームウェアのセキュリティーを専門とする企業がBlack Hat 2018 USAで発表したRemotely Attacking System Firmware [blackhat.com]では、ASRockおよびASUSのマザーボードにおける脆弱性が指摘されています。
脆弱性の内容としては、ASRockのInternet Flash及びASUSのEZ Flash3は更新ファイルの取得を平文で行っているうえに受け取ったデータを検証していないので、MITM等により容易にバッファオーバーフローを起こせるというものです。発表によると、この脆弱性があるマザーボードはかなり多く、ASRockの場合はHaswell~Coffee Lake、Zenを含む295機種が影響を受けます。
さらに言うと、この脆弱性の報告に対し、ASUSは修正の必要性すら認めず、影響する機種へのファームウェア更新を提供するとしたASRockも更新を提供しているようには見えません。
-----オマケ
以前、ASRockのSkylake世代のマザーボードで、BIOSのファームウェア更新機能に意図的に破損させた更新ファイルを読み込ませたことがありました。更新ファイルに署名した上でそれを更新時に検証するようなことはしていなくとも、さすがに破損チェックぐらいはしているだろうと思ってのことなのですが、何事もなかったかのように更新プロセスは終了し、システムは起動しなくなりました。(そのマザーボードはBIOSを格納したフラッシュメモリが2系統あったので復旧は容易でした)
このことから、少なくとも私の使用していたマザーボードは更新ファイルの基本的な破損チェックすらしていないことが分かります。
幸いなことに、大手メーカー(DellとかLenovoとか)のPCの場合、ファームウェアの更新ファイルに署名したうえで、更新前にファームウエアを検証するのが当たり前になっているので状況は幾分かマシです。
-----オマケ2
最初はこれに加えて、ASRockの場合、Web上で更新ファイルを配布するサーバーのURLが謎のCDN屋のものになっているのに加え、通信が平文なのでクソだという話を書こうと思っていたのですが、確認したところ、いつの間にかURLがasrock.comになっていて、しかもHTTPSに対応していますね。これは偉いと思います。(数年遅いと思いますが)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
更新方法にも注意が必要(特に自作PC系) (スコア:0)
自作PC用マザーボードのBIOSを更新する方法として最も一般的なものは、更新用のファイルをUSBメモリーに入れ、BIOS内の更新機能を使用するものですが、いくつかのメーカー(ASRockやASUS)はBIOS内の更新用プログラムがインターネット上から直接更新ファイルを取得して更新を行うという機能を実装しています。
一見便利に見えるこの機能ですが、肝心の実装がとても酷いので使ってはいけません。
Eclypsiumというファームウェアのセキュリティーを専門とする企業がBlack Hat 2018 USAで発表したRemotely Attacking System Firmware [blackhat.com]では、ASRockおよびASUSのマザーボードにおける脆弱性が指摘されています。
脆弱性の内容としては、ASRockのInternet Flash及びASUSのEZ Flash3は更新ファイルの取得を平文で行っているうえに受け取ったデータを検証していないので、MITM等により容易にバッファオーバーフローを起こせるというものです。発表によると、この脆弱性があるマザーボードはかなり多く、ASRockの場合はHaswell~Coffee Lake、Zenを含む295機種が影響を受けます。
さらに言うと、この脆弱性の報告に対し、ASUSは修正の必要性すら認めず、影響する機種へのファームウェア更新を提供するとしたASRockも更新を提供しているようには見えません。
-----
オマケ
以前、ASRockのSkylake世代のマザーボードで、BIOSのファームウェア更新機能に意図的に破損させた更新ファイルを読み込ませたことがありました。
更新ファイルに署名した上でそれを更新時に検証するようなことはしていなくとも、さすがに破損チェックぐらいはしているだろうと思ってのことなのですが、何事もなかったかのように更新プロセスは終了し、システムは起動しなくなりました。(そのマザーボードはBIOSを格納したフラッシュメモリが2系統あったので復旧は容易でした)
このことから、少なくとも私の使用していたマザーボードは更新ファイルの基本的な破損チェックすらしていないことが分かります。
幸いなことに、大手メーカー(DellとかLenovoとか)のPCの場合、ファームウェアの更新ファイルに署名したうえで、更新前にファームウエアを検証するのが当たり前になっているので状況は幾分かマシです。
-----
オマケ2
最初はこれに加えて、ASRockの場合、Web上で更新ファイルを配布するサーバーのURLが謎のCDN屋のものになっているのに加え、通信が平文なのでクソだという話を書こうと思っていたのですが、確認したところ、いつの間にかURLがasrock.comになっていて、しかもHTTPSに対応していますね。これは偉いと思います。(数年遅いと思いますが)