Windowsのセキュリティパッチを元に戻す恐ろしい新しい方法が登場

Windowsのセキュリティパッチは、PCを進化する脅威から守るために不可欠です。しかし、ダウングレード攻撃はMicrosoftのパッチを回避する手段であり、セキュリティ研究者は、これがどれほど致命的になり得るかを明らかにしようと試みました。

SafeBreachのセキュリティ研究者、アロン・レヴィエフ氏は、同社のブログ投稿で、概念実証として「Windows Downdateツール」と呼ばれるツールを開発したと述べています。このツールは、Windows ServerシステムおよびWindows 10および11のコンポーネントに対して、永続的かつ不可逆的なダウングレードを実行します。

レヴィエフ氏は、彼のツール（および同様の脅威）はバージョンロールバック攻撃を実行すると説明している。「これは、完全に最新の状態に保たれている、影響を受けないソフトウェアを古いバージョンに戻すように設計されています。これにより、悪意のある攻撃者は、以前に修正またはパッチが適用された脆弱性を露呈させ、システムを侵害して不正アクセスを取得することができます。」

また、このツールを使うことで、ドライバー、DLL、セキュアカーネル、NTカーネル、ハイパーバイザーなどに由来する古い脆弱性をPCに悪用できるとも述べています。レヴィエフ氏はX（旧Twitter）に次のように投稿しました。「カスタムダウングレード以外にも、Windows DowndateはCVE-2021-27090、CVE-2022-34709、CVE-2023-21768、PPLFaultのパッチを元に戻したり、ハイパーバイザーやカーネルをダウングレードしたり、VBSのUEFIロックをバイパスしたりする簡単な使用例を提供しています。」

まだチェックしていない方は、Windows Downdateツールがリリースされました！Windows Updateを乗っ取ってダウングレードし、DLL、ドライバー、NTカーネル、セキュアカーネル、ハイパーバイザー、IUMトラストレットなどに存在する過去の脆弱性を暴露することができます！https://t.co/59DRIvq6PZ

— アロン・レヴィエフ（@_0xDeku）2024年8月25日

さらに懸念されるのは、このツールはエンドポイント検出・対応（EDR）ソリューションでブロックできないため検出されず、Windowsコンピューターは実際には最新ではないにもかかわらず、最新であると表示し続けることです。彼はまた、ハイパーバイザー保護コード整合性（HVCI）やCredential Guardなど、Windows仮想化ベースセキュリティ（VBS）を無効にするさまざまな方法も明らかにしました。

Microsoftは8月7日、Windowsセキュアカーネルモードの権限昇格脆弱性（CVE-2024-21302）を修正するセキュリティ更新プログラム（KB5041773）と、CVE-2024-38202のパッチをリリースしました。Microsoftはまた、Windowsユーザーが安全を確保するためのヒントも公開しました。例えば、「オブジェクトアクセスの監査」設定でファイルアクセスの試行をスキャンするといった対策です。この新しいツールのリリースは、PCがあらゆる種類の攻撃にどれほど無防備であるか、そしてサイバーセキュリティに関して決して油断すべきではないことを示しています。

幸いなことに、このツールは概念実証として開発されたため、今のところは安心できます。これは、脅威アクターよりも先に脆弱性を発見する「ホワイトハットハッキング」の好例です。また、レヴィエフ氏は2024年2月に調査結果をマイクロソフトに提出しており、このソフトウェア大手が必要な修正をすぐに提供してくれることを期待しています。