検出不可能なWindows Updateダウングレード攻撃が完全に更新されたシステムを暴露

SafeBreachのセキュリティ研究者であるAlon Levievは、Windows 10、Windows 11、およびWindows Serverシステムに対するソフトウェアの「ダウングレード攻撃」に緊急の注意を促しました。これにより、完全に最新のソフトウェアが既知の悪用可能な脆弱性を持つ古いバージョンに戻される可能性があります。

ラスベガスで開催中のセキュリティ会議「Black Hat 2024」でこの発表を行ったLevievは、悪意のある行為者が以前は「完全にパッチ適用された」脆弱性を暴露し、悪用してシステムを侵害し、不正アクセスを得る可能性があると警告しました。

Levievは、Windowsの更新プロセスがどのように妥協され、動的リンクライブラリ（DLL）、ドライバー、さらにはNTカーネルを含む重要なOSコンポーネントをダウングレードできるかを示しました。

ダウングレード攻撃はすべての重要なコンポーネントを古いバージョンに戻しますが、更新チェックはオペレーティングシステム（OS）が完全に更新されており、今後の更新をインストールできないと誤って報告し、回復およびスキャンツールは問題を特定できませんでした。

「私は、Windows Updateプロセスを引き継ぎ、完全に検出不可能で、目に見えず、持続的で、不可逆的なダウングレードを重要なOSコンポーネントに対して作成するために使用したいくつかの脆弱性を見つけました。これにより、特権を昇格させ、セキュリティ機能をバイパスすることができました。その結果、完全にパッチ適用されたWindowsマシンを過去の数千の脆弱性に対して脆弱にし、修正された脆弱性をゼロデイに変え、「完全にパッチ適用された」という用語を世界中のどのWindowsマシンにおいても意味のないものにしました」とLevievはブログ投稿で述べました。

イスラエルの研究者は、ゼロデイ脆弱性を悪用してCredential Guardの隔離ユーザーモードプロセス、セキュアカーネル、およびHyper-Vのハイパーバイザーを成功裏にダウングレードすることができ、過去の特権昇格脆弱性を暴露しました。

「私は、UEFIロックで強制されている場合でも、Credential Guardやハイパーバイザー保護コード整合性（HVCI）などの機能を含むWindowsの仮想化ベースのセキュリティ（VBS）を無効にする複数の方法を発見しました。私の知識では、これは物理的アクセスなしにVBSのUEFIロックをバイパスした初めてのケースです」とLevievは明らかにしました。

「その結果、私は完全にパッチ適用されたWindowsマシンを過去の数千の脆弱性に対して脆弱にし、修正された脆弱性をゼロデイに変え、「完全にパッチ適用された」という用語を世界中のどのWindowsマシンにおいても意味のないものにしました。」

Levievによれば、これは仮想化ベースのセキュリティ（VBS）のUEFIロックが物理的アクセスなしにバイパスされた初めてのケースです。彼の研究の影響は、Microsoft Windowsだけでなく、ダウングレード攻撃の影響を受ける可能性のあるすべてのOSベンダーにとって重要です。

SafeBreach Labsは、ダウングレード攻撃「Windows Downdate」を、責任ある開示プロセスの一環として今年の2月にMicrosoftに報告しました。報告から6か月後、Levievは「Windows Downdate」ダウングレード攻撃を一般に公開しました。

Microsoftは、2つの未修正のゼロデイ脆弱性（CVE-2024-38202およびCVE-2024-21302として追跡）に関するアドバイザリーを発行し、公式な緩和策がWindowsのセキュリティ更新プログラムで利用可能になった際に顧客に通知されると述べました。また、これらの脆弱性が実際に悪用されている試みについては把握していないとも述べました。

一方、同社は脆弱性を緩和するものではありませんが、セキュリティ更新プログラムが利用可能になるまで悪用のリスクを減らすために使用できる推奨事項を提供しています。

「私たちは、SafeBreachがこの脆弱性を特定し、責任を持って報告するために行った作業を評価しています。私たちは、徹底的な調査、影響を受けるすべてのバージョンにわたる更新の開発、互換性テストを含む広範なプロセスに従い、顧客の保護を最大化し、運用の中断を最小限に抑えるために、これらのリスクに対する緩和策を積極的に開発しています」とMicrosoftの広報担当者は声明で述べました。