Windows Update の欠陥で「パッチ解除」が行われるダウングレード攻撃が可能に
2024年8月7日 SafeBreachの研究者がマイクロソフトの Windows Updateの重大な欠陥で悪意のあるハッカーがソフトウェア ダウングレード攻撃を仕掛け、世界中のどの Windows マシンも「パッチ適用」の意味がなくなる事の注意喚起を行いました。
目次
ダウングレード攻撃とは
ダウングレード攻撃(別名バージョン ロールバック攻撃)は、完全に最新の状態に保たれているソフトウェアを古いバージョンに戻すことを目的とした攻撃の一種です。
これにより、悪意のある攻撃者が、以前に修正/パッチを適用した脆弱性を露出させて悪用し、システムを侵害して不正アクセスを行うことができます。
過去にはマルウェア BlackLotusが、Windows ブート マネージャーをCVE-2022-21894に対して脆弱なバージョンにダウングレードし、セキュア ブートを回避しました。
Windows Updateを回避する
SafeBreachの研究者はWindows 更新プロセスが侵害され、ダイナミック リンク ライブラリ (DLL) や NT カーネルなどの重要な OS コンポーネントがダウングレードされる可能性があることを発見しました。
これらのコンポーネントはすべて古くなっていたにもかかわらず、
Windows Update で確認すると、OS は完全に更新されたと報告し、回復ツールやスキャン ツールでは問題を検出できませんでした。
動画引用:SafeBreach
ゼロデイ脆弱性を悪用することで、
・Credential Guard のセキュア カーネルと分離
・ユーザー モード プロセス、および Hyper-V のハイパーバイザーをダウングレードし、
過去の権限昇格の脆弱性を露出させることも可能でした。
研究者は「UEFI ロックを適用した場合でも、Credential Guard や Hypervisor-Protected Code 整合性 (HVCI) などの機能を含む Windows 仮想化ベースのセキュリティ (VBS) を無効にする複数の方法を発見しました。私の知る限り、VBS の UEFI ロックが物理アクセスなしでバイパスされたのはこれが初めてです。」と述べています。
Windowsのパッチ適用済みが意味をなさなくなる
上記の結果から完全にパッチを適用した Windows を過去の何千もの脆弱性に対して端末を改めて脆弱な状態にしたり修正された脆弱性でゼロデイ攻撃が可能になり、世界中のどの Windows マシンでも「完全にパッチを適用した」という用語が意味をなさなくなりました。
EDRでも検出できない
このダウングレード攻撃はエンドポイント検出および対応 (EDR) ソリューションではブロックできないため検出できず、また、Windows Update ではデバイスが完全に更新されたと報告されるため (ダウングレードされているにもかかわらず)、目に見えません。
Microsoft(マイクロソフト)の対応
マイクロソフトは権限を昇格し、悪意のあるアップデートを作成し、Windows システム ファイルを古いバージョンに置き換えることでセキュリティ上の欠陥を再び導入するために使用する、Windows Update スタック権限昇格 ( CVE-2024-38202 ) および Windows セキュア カーネル モード権限昇格 ( CVE-2024-21302 ) の脆弱性の修正にまだ取り組んでいることを発表しています。
マイクロソフトは、現時点ではこの脆弱性を悪用する試みは認識していないと述べ、セキュリティ更新プログラムがリリースされるまで、悪用されるリスクを軽減するために、2024年8月8日に公開された 2 つのセキュリティ勧告で共有された推奨事項を実施するよう勧告した。
引用
Windows Downdate: Downgrade Attacks Using Windows Updates
Windows Update downgrade attack “unpatches” fully-updated systems