Windows Update の脆弱性により、過去のセキュリティ脅威にシステムが晒される
Microsoft Windows の深刻なセキュリティ欠陥が発見されました。この欠陥により、攻撃者がアップデートプロセスを悪用し、重要なシステムコンポーネントを脆弱なバージョンにダウングレードすることが可能になります。この Windows Downdate 脆弱性は、実質的にセキュリティパッチを無効化し、システムを過去の数千もの脆弱性にさらす可能性があります。
 |
|---|
| Windows ロゴのグラフィック表現は、システムを過去のセキュリティ脅威にさらす可能性のある Windows Update システムの脆弱性を強調しています |
主なポイント:
- SafeBreach の研究者 Alon Leviev が Black Hat USA 2024 でこの攻撃手法を実証
- この欠陥により、Windows Update の検証手順と Trusted Installer の強制を回避可能
- 攻撃者は検出されることなく、ドライバー、DLLファイル、さらには NT カーネルをダウングレード可能
- 仮想化スタック全体が危険にさらされ、Secure Kernel や Hyper-V のハイパーバイザーも含まれる
- UEFI ロックで強制されている場合でも、仮想化ベースのセキュリティを無効化可能
 |
|---|
| 潜在的なセキュリティデモンストレーションを念頭に置き、警告シンボルが Windows Downdate 脆弱性への対処の緊急性を強調しています |
攻撃の仕組み
この攻撃は、Windows レジストリにカスタムダウングレードアクションリストを追加することで行われます。ファイルフォルダの名前を変更することで仮想化ベースのセキュリティ(VBS)をバイパスし、システムに古い脆弱なシステムファイルを受け入れさせます。これにより、悪意のあるダウングレードが正当なアップデートとして表示され、標準的なセキュリティツールでは検出できなくなります。
広範な影響
この脆弱性は、完全にパッチが適用された Windows 11 システムを含む、現行のすべての Windows バージョンに影響します。解決済みと思われていた脆弱性にマシンを再び晒す可能性があり、修正が実装されるまで、完全にパッチが適用されたシステムという概念を事実上無効にします。
Microsoft の対応
Microsoft はこの脆弱性を認識し、CVE-2024-38202 と CVE-2024-21302 として指定しました。現在、緩和策に取り組んでいますが、複数のサブプログラムに影響を与える設計上の欠陥の複雑さから、包括的な修正には時間がかかる可能性があります。
より広い影響
Leviev は、この種の脆弱性が Windows に限定されず、他のオペレーティングシステムにも影響を与える可能性があると示唆しています。彼は、将来同様の脆弱性を防ぐために、ベンダーと研究者の両方に新しい攻撃ベクトルを探求するよう促しています。
ユーザーができること
現時点では実際の攻撃は観察されていませんが、ユーザーと組織は警戒を怠らず、Microsoft が修正プログラムをリリースしたら速やかにセキュリティアップデートを適用することが重要です。それまでの間、全体的な強力なセキュリティ対策を維持し、システムに異常な活動がないか監視することが極めて重要です。
この発見は、広く使用され定期的に更新されているオペレーティングシステムでさえ、堅牢なサイバーセキュリティ対策を維持することの継続的な課題を浮き彫りにしています。これは、継続的なセキュリティ研究の重要性と、オペレーティングシステムベンダーが個々の脆弱性だけでなく、潜在的な攻撃の全クラスに対処する必要性を再認識させるものです。