Microsoftは、自社のAIセキュリティアシスタント「Security Copilot」を活用した脅威分析により、GRUB2をはじめとする複数のOSSのブートローダーに深刻な脆弱性が存在することを発見しました。影響を受けるのは、UEFI Secure Bootを利用するすべてのOSおよび一部のIoT機器で、悪用されるとブートプロセスの制御やセキュリティ機構の回避が可能になるリスクがあります。
Microsoft Security Copilotの活用
MicrosoftのAIアシスタント「Security Copilot」を活用し、以下のような効率的な脆弱性分析を実施したとしています。
-
危険性の高い処理(ファイルシステム等)の自動特定
-
セキュリティ上の問題点の抽出と分類
-
類似コードの横断検索とバリエーション分析
これにより、従来1週間かかっていた手動分析の大部分を短縮し、より広範囲で確実な検出が可能となりました。
発見された脆弱性と影響範囲
発見対象のブートローダー
-
GRUB2(Linux向け)
-
U-Boot(組込み系向け)
-
Barebox(組込み系向け)
発見された脆弱性の一部(例)
| ブートローダー | 脆弱性内容 | CVE番号 |
|---|---|---|
| GRUB2 | ファイルシステム処理における整数オーバーフロー・バッファオーバーフロー | CVE-2025-0677 ほか複数 |
| U-Boot | SquashFSやEroFS処理に関連するバッファオーバーフロー | CVE-2025-26726〜26729 |
| Barebox | 複数のファイルシステムにおける処理ミス | CVE-2025-26721〜26725 |
中でもGRUB2の脆弱性は深刻で、Secure Bootの回避や、特定条件下での高度な攻撃手法の可能性が指摘されています。
ブートローダーはOS起動前に実行されるため、OSのセキュリティ機構(DEPやASLR等)が適用されない領域に存在しています。またGRUB2は柔軟性が高く、多くのファイルシステム・画像フォーマット・ネットワーク機能などをサポートしていることから、複雑な処理が多く、脆弱性が生まれやすい特徴があります。
さらに、GRUB2はC言語で書かれており、メモリ安全性の確保が困難な設計となっていることも指摘されています。
対応状況とベンダーの動き
Microsoftは以下のように、脆弱性の発見・報告・修正までをベンダーと連携して進めました。
さらに、Secure Bootに対応する「shim」やSBAT(Secure Boot Advanced Targeting)の更新も含め、ファームウェアレベルでの信頼性強化も併せて実施されています。
| 対応内容 | 実施日 |
|---|---|
| GRUB2の修正パッチ公開 | 2025年2月18日 |
| U-BootおよびBareboxの修正パッチ公開 | 2025年2月19日 |
関連記事
Microsoft Defender for Endpointとは Microsoft純正のEDRについて解説
Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467)
Microsoftがデュアルブートシステムにおける Linux の起動問題の一時的な修正を公開
GitHubの非公開リポジトリがMicrosoftのAIアシスタント「Copilot」により無断公開
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)
Splunkで重大な脆弱性、対象者はアップデートを推奨(CVE-2025-20229、CVE-2025-20231)
Ivantiの脆弱性を通じてMITRE(マイター)へゼロデイ攻撃が発生
Ivantiの複数製品で危険度の高い脆弱性が発生(CVE-2023-46805、CVE-2024-21887)