OSを古い状態へ巻き戻す「Windows Downdate」攻撃に注意喚起／延期されたAI機能「Recall」が10月公開へ

OSを古いバージョンに巻き戻す「Windows Downdate」攻撃の詳細が公開された

　うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、8月18日週を中心に公開された主なニュースを一気にチェックしましょう！

●OSを古い状態へ巻き戻す「Windows Downdate」攻撃に注意喚起

　セキュリティベンダーの露Kaspersky Labは8月20日（米国時間）、Windowsを古いバージョンにダウングレードさせて、既知の脆弱（ぜいじゃく）性を利用できるようにしてしまう「Windows Downdate」攻撃の詳細を公開した。

　サイバーセキュリティ企業のSafeBreachに所属する研究者が、セキュリティカンファレンス「Black Hat USA 2024」で発表したものだ。

　Windows Downdateは、以下の2つの脆弱性を利用して実行される。

・CVE-2024-21302：Windows 保護カーネル モードの特権の昇格の脆弱性

・CVE-2024-38202：Windows Update スタックの特権の昇格の脆弱性

　これらの脆弱性を利用することで、整合性検証やTrusted Installerの適用など、Windows Update中に実行される全ての検証手順をバイパスして、ダウングレード更新を作成できるようになる。これにより、DLL、ドライバー、さらにはNTカーネルを含む重要なOSコンポーネントをダウングレードすることができてしまうという。

　さらにその状態ではWindows Updateで最新の更新をインストールすることもできず、回復ツールとスキャンツールでは問題を検出できなかったとしている。

　米Microsoftは2024年2月にこの脆弱性について報告を受けたが、2024年8月まで詳細は明かされなかった。現在、対応中とのことだが、修正にはシステムクラッシュなどの副作用を伴うため、急いでパッチを提供するようなことはせず、いくつかの緩和策を発表している。

　また、以下のような効果がある更新プログラムKB5042562を適用することで、 CVE-2024-21302が悪用されるリスクを軽減できるという。

・システムの復元および更新操作を実行する権限を持つユーザーを監査し、そのようなユーザーの数を最小限に抑え、可能な場合は権限を取り消す

・アクセス制御リスト（ACL／DACL）を実装して、更新ファイルへのアクセスと変更を制限する