Last Updated on 2024-10-29 07:58 by admin
SafeBreach Labsのセキュリティ研究者Alon Levievが、Windows 11のセキュリティを危険にさらす新たな攻撃手法「Windows Downdate」を発見した。この脆弱性は2024年8月にBlack Hat USAとDEF CON 32で発表された。
この攻撃により、完全にパッチ適用済みのWindowsシステムを脆弱な状態に戻すことが可能となり、システムコンポーネントをダウングレードして修正済みの脆弱性を再び有効化できる。Windows 10、Windows 11、Windows Serverが影響を受ける。
脆弱性の詳細
この問題は以下の2つのゼロデイ脆弱性に関連している:
- CVE-2024-38202(CVSS:7.3)- Windows Update Stackの特権昇格の脆弱性
- CVE-2024-21302(CVSS:6.7)- Windows Secure Kernel Modeの特権昇格の脆弱性
修正対応状況
Microsoftは2024年10月のパッチチューズデーで、これらを含む計118件の脆弱性に対する修正を実施。その内訳は重大な脆弱性が3件、リモートコード実行の脆弱性が43件、特権昇格の脆弱性が28件、サービス拒否の脆弱性が26件、その他が21件となっている。
from:Windows ‘Downdate’ Attack Reverts Patched PCs to a Vulnerable State
【編集部解説】
Windows OSのセキュリティに関する重大な脆弱性が発見されたことで、企業のITセキュリティ管理者の間で大きな懸念が広がっています。
この「Windows Downdate」と名付けられた攻撃手法の特徴的な点は、最新のセキュリティパッチが適用されたシステムを、古い脆弱な状態に戻せてしまうという点です。これまでのセキュリティ対策の常識を覆す発見といえます。
特に深刻なのは、この攻撃がエンドポイント検知・対応(EDR)ソリューションでは検出できないという点です。さらに、システムを古いバージョンに戻した後でも、Windows Updateは「システムは最新の状態です」と報告し続けるため、管理者が問題に気付きにくいという特徴があります。
この脆弱性の影響範囲は広く、Windows 10、Windows 11、Windows Serverなど、主要なWindowsプラットフォームすべてに及びます。特に企業のIT環境で重要な役割を果たすCredential GuardやHyper-V、HVCIといった高度なセキュリティ機能までもが無効化される可能性があることは、深刻な問題です。
発見者のSafeBreach LabsのAlon Leviev氏によれば、この問題はWindows仮想化ベースのセキュリティ(VBS)機能が2015年に発表されて以来、約10年間も存在していた可能性があるとのことです。
対策としては、Microsoftが提供する最新のセキュリティパッチの適用が不可欠です。また、VBSのUEFIロックと「Mandatory」フラグを有効にすることで、物理的なアクセスなしではこの攻撃を防げることが確認されています。
この発見は、最新のパッチを適用すれば安全というこれまでのセキュリティの常識に再考を促すものとなっています。今後は、システムの整合性を定期的に検証する新しいセキュリティアプローチが必要になるかもしれません。
【用語解説】
【参考リンク】
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
