Windowsを“古いバージョン”に戻す「ダウングレード攻撃」 修正済みの脆弱性をゼロデイ化、“最新の状態”を偽り検出も困難
ITmedia NEWS / 2024年8月21日 8時5分
Windows Downdateのデモ
イスラエルのサイバーセキュリティ企業の米SafeBreachの研究者であるアロン・レヴィーさんは、セキュリティカンファレンス「Black Hat USA 2024」でWindowsアップデートプロセスを悪用してシステムを古い脆弱なバージョンに戻すダウングレード攻撃「Windows Downdate」を発表した。
この攻撃はWindowsアップデートを乗っ取り、カスタムダウングレードを作成して、過去の数千もの脆弱性を露呈させ、修正済みの脆弱性をゼロデイ化する。これにより、世界中のWindowsマシンにおいて「完全にパッチ適用済み」が無意味になる可能性がある。
ダウングレード攻撃とは、ソフトウェアを古い脆弱なバージョンに戻すことを強制する手法である。2023年には「BlackLotus UEFIブートキット」が出現し、Windowsブートマネージャをダウングレードしてセキュアブートをバイパスした。Microsoftはこの脅威に対処し、ブートマネージャへのダウングレード攻撃を緩和してセキュアブートを保護する対応を行った。
しかし、レヴィーさんは、セキュアブート以外にもダウングレード攻撃に対して脆弱な重要コンポーネントが存在する可能性を考えた。検出不可能なダウングレードフローを見つけることを目指し、Windowsアップデートを調査した結果、脆弱性を特定した。
具体的には、更新時に行われる整合性検証やTrusted Installerの制限回避などの全ての検証ステップをバイパスするダウングレード更新プログラムの作成方法を発見した。この手法を用いて、DLL(Dynamic Link Library)、ドライバー、NTカーネルといった重要なOSコンポーネントをダウングレードすることに成功し、特権を昇格させ、セキュリティ機能をバイパスすることが可能となった。
この攻撃の特筆すべき点は、その検出の難しさにある。攻撃後、システムは完全に更新されているように見えるが、実際には古いバージョンのコンポーネントが使用されている。さらに、この攻撃は将来の更新をブロックし、システムファイルの破損を検出するツールの無効化もできる。
つまり、攻撃が行われた後も、Windows Updateは最新の状態であると報告し続け、ユーザーや管理者は自分のシステムが攻撃を受けて脆弱な状態になっていることに気付きにくくなる。
-
- 1
- 2
この記事に関連するニュース
-
北朝鮮の脅威グループ、Windowsのゼロデイ悪用してサイバー攻撃
マイナビニュース / 2024年8月21日 10時49分
-
Appleがオープンソースの画像生成AIモデル「MDM」をGitHubで公開/Windowsに深刻な脆弱性 ゼロクリック攻撃で
ITmedia PC USER / 2024年8月18日 6時5分
-
GoogleのQuick Shareに脆弱性、Windowsにリモートコード実行のリスク
マイナビニュース / 2024年8月16日 18時8分
-
Microsoft、8月の累積更新プログラム配信開始 - 90件の脆弱性修正
マイナビニュース / 2024年8月15日 12時9分
-
Windowsにゼロデイ脆弱性発見、修正パッチをロールバックされる恐れ
マイナビニュース / 2024年8月8日 14時52分
ランキング
-
1待望の新モデル ソニー、ハンディカムコーダー2機種を発表 AI被写体認識や「単体でライブ配信」も実現
ITmedia NEWS / 2024年8月21日 8時30分
-
2マイクロソフト「Teams」、アカウントを切り替え可能に 仕事用、個人用、教育用を統合
ASCII.jp / 2024年8月21日 12時20分
-
3すぐに試せる“安い豆腐を10倍おいしくする裏技”に「すげぇ!たったこれだけ!」 知って得する大好評レシピが目からウロコ
ねとらぼ / 2024年8月21日 9時30分
-
4「そうはならんやろ」 駅のトイレが故障→“まさかの張り紙”に思わず二度見 「おいおい」「怖すぎる」
ねとらぼ / 2024年8月21日 7時0分
-
5愛犬の散歩中に遭遇したのはまさかの…… 運命を感じる出会いに「こんなことって本当にあるんですね」「帰ってきてくれてありがとう!」
ねとらぼ / 2024年8月21日 7時30分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください