SafeBreach のセキュリティ研究者である Alon Leviev 氏は、ソフトウェアの「ダウングレード攻撃」に緊急の注意を払っています。Windows 10、Windows 11、および完全に最新のソフトウェアを既知の悪用可能な脆弱性を含む古いバージョンに強制的に戻すことができる Windows Server システム。
レヴィエフ氏は、ラスベガスで開催中のセキュリティカンファレンス「Black Hat 2024」で発表し、悪意のある攻撃者が以前に「完全にパッチが適用された」脆弱性を暴露して悪用し、システムを侵害し、不正アクセスを取得する可能性があると警告した。
Leviev 氏は、Windows の更新プロセスがどのように侵害され、ダイナミック リンク ライブラリ (DLL)、ドライバ、さらには NT カーネルなどの重要な OS コンポーネントをダウングレードする可能性があるかを示しました。
ダウングレード攻撃ではすべての重要なコンポーネントが古いバージョンにロールバックされますが、アップデート チェックでは、オペレーティング システム (OS) が完全にアップデートされており、今後のアップデートをインストールできないと誤って報告され、リカバリ ツールやスキャン ツールは問題を特定できませんでした。
「Windows Downdate (Windows Update プロセスを引き継ぎ、重要な OS コンポーネントに対して完全に検出不能、不可視、永続的、および元に戻せないダウングレードを作成するツール) の開発に使用したいくつかの脆弱性を発見しました。これにより、特権を昇格し、セキュリティ機能をバイパスすることができました。その結果、完全にパッチが適用された Windows マシンを何千もの過去の脆弱性の影響を受けやすくすることができ、修正された脆弱性がゼロデイになり、世界中のどの Windows マシンでも「完全にパッチが適用された」という用語が無意味になります」と Leviev 氏は述べています。書きましたブログ投稿で。
このイスラエルの研究者は、ゼロデイ脆弱性を悪用して、Credential Guard の分離ユーザー モード プロセス、セキュア カーネル、および Hyper-V のハイパーバイザーをダウングレードすることに成功し、これにより過去の権限昇格の脆弱性が暴露されました。
「UEFI ロックが適用されている場合でも、Credential Guard やハイパーバイザーで保護されたコードの整合性 (HVCI) などの機能を含む、Windows 仮想化ベースのセキュリティ (VBS) を無効にする複数の方法を発見しました。私の知る限り、VBS の UEFI ロックが物理的なアクセスなしにバイパスされたのはこれが初めてです」と Leviev 氏は明らかにしました。
「その結果、完全にパッチが適用された Windows マシンを過去の何千もの脆弱性の影響を受けやすくすることができ、修正された脆弱性をゼロデイに変え、世界中の Windows マシンで「完全にパッチが適用された」という用語を無意味にすることができました。」
Leviev 氏によると、仮想化ベースのセキュリティ (VBS) の UEFI ロックが物理的なアクセスなしでバイパスされたのはこれが初めてです。彼の研究の影響は、Microsoft Windows だけでなく、ダウングレード攻撃の対象となる可能性のあるすべての OS ベンダーにとっても重要です。
SafeBreach Labs は今年 2 月、責任ある情報開示プロセスの一環として、「Windows Downdate」と呼ばれるこのダウングレード攻撃を Microsoft に報告しました。報告から 6 か月後、Lview は「Windows Downdate」ダウングレード攻撃を一般に公開しました。
Microsoft は、パッチが適用されていない 2 つのゼロデイ脆弱性 (次のように追跡されています) に関する勧告を発行しました。CVE-2024-38202そしてCVE-2024-21302)そして、正式な緩和策が Windows セキュリティ アップデートで利用可能になった時点で顧客に通知されると述べました。また、これらの脆弱性を悪用する試みが実際に行われたことは認識していないと述べた。
一方、同社は脆弱性を軽減するものではないが、セキュリティアップデートが利用可能になるまで悪用のリスクを軽減するために使用できる推奨事項を提供している。
「私たちは、調整された脆弱性開示を通じてこの脆弱性を特定し、責任を持って報告するという SafeBreach の取り組みに感謝します。マイクロソフトの広報担当者は声明で、「当社は、徹底した調査、影響を受けるすべてのバージョンにわたる更新プログラムの開発、互換性テストを含む広範なプロセスに従いながら、これらのリスクから保護するための緩和策を積極的に開発しており、運用の中断を最小限に抑えながら最大限の顧客保護を確保している」と述べた。
