Windows

SafeBreachのセキュリティ研究者であるAlon Levievは、Black Hat 2024において、2つのゼロデイがダウングレード攻撃で悪用され、完全にアップデートされたWindows 10、Windows 11、およびWindows Serverシステムの「パッチが解除」され、古い脆弱性が再導入される可能性があることを明らかにした。

Microsoftは、Black Hatの発表と連携して、パッチが適用されていない2つのゼロデイ(CVE-2024-38202およびCVE-2024-21302として追跡される)に関するアドバイザリを発行し、修正プログラムがリリースされるまでの間、緩和策に関するアドバイスを提供した。

ダウングレード攻撃では、脅威者は最新のターゲットデバイスを古いソフトウェアバージョンに強制的にロールバックさせ、システムを侵害するために悪用される脆弱性を再導入します。

SafeBreach のセキュリティ研究者である Alon Leviev 氏は、Windows の更新プロセスを悪用して、ダイナミック・リンク・ライブラリ(DLL)や NT カーネルなどの重要な OS コンポーネントをダウングレードできることを発見しました。これらのコンポーネントがすべて古くなっているにもかかわらず、Windows Updateでチェックすると、OSは完全にアップデートされていると報告され、リカバリツールやスキャンツールでは問題を検出することができなかった。

また、ゼロデイ脆弱性を悪用することで、Credential GuardのSecure KernelとIsolated User Mode Process、およびHyper-Vのハイパーバイザーをダウングレードし、過去の特権昇格の脆弱性を暴露することもできた。

「私は、クレデンシャル・ガードやHypervisor-Protected Code Integrity (HVCI)などの機能を含むWindows仮想化ベースのセキュリティ(VBS)を、UEFIロックで強制された場合でも無効にする複数の方法を発見しました。私の知る限り、物理的なアクセスなしにVBSのUEFIロックをバイパスできたのは今回が初めてです。

「その結果、私は、完全にパッチが適用されたWindowsマシンを、何千もの過去の脆弱性の影響を受けやすくすることができた。

Leviev氏が言うように、このダウングレード攻撃は、エンドポイント検出・対応(EDR)ソリューションでブロックできないため検出不可能であり、また、Windows Updateが(ダウングレードされているにもかかわらず)デバイスが完全にアップデートされていると報告するため、見えない。

6カ月経ってもパッチが適用されない

Leviev氏は、協調的な責任ある情報開示プロセスの一環として、2月にマイクロソフト社に脆弱性を報告してから6ヵ月後に「Windows Downdate」ダウングレード攻撃を公表した

マイクロソフトは本日、レヴィエフ氏が特権の昇格、悪意のあるアップデートの作成、Windowsシステムファイルを古いバージョンに置き換えることによるセキュリティ欠陥の再導入に使用したWindows Update Stack Elevation of Privilege(CVE-2024-38202)とWindows Secure Kernel Mode Elevation of Privilege(CVE-2024-21302)の脆弱性の修正に現在も取り組んでいると発表した。

同社の説明によると、CVE-2024-38202 Windows Backup の特権昇格の脆弱性により、基本的なユーザー権限を持つ攻撃者は、以前に緩和されたセキュリティバグの「パッチ適用解除」や、Virtualization Based Security (VBS) 機能の迂回が可能になります。管理者権限を持つ攻撃者は、CVE-2024-21302の特権昇格の欠陥を悪用して、Windowsシステムファイルを古い脆弱なバージョンに置き換えることができる。

マイクロソフト社によると、現在、この脆弱性を悪用しようとする試みは確認されておらず、セキュリティ更新プログラムがリリースされるまでの間、悪用のリスクを軽減するために、本日発表された2つのセキュリティ勧告で共有されている推奨事項を実施することを勧めている。

「私は、完全にパッチが適用されたWindowsマシンを何千もの過去の脆弱性の影響を受けやすくすることがいかに可能であるかを示すことができた。

「世界で最も広く使われているデスクトップOSであるマイクロソフト・ウィンドウズだけでなく、ダウングレード攻撃を受ける可能性のある他のOSベンダーにとっても、その影響は大きいと考えている。

Update August 07, 17:27 EDT: マイクロソフトの広報担当者は、この記事が掲載された後、次のような声明を発表した。

この脆弱性を特定し、協調的な脆弱性開示を通じて責任を持って報告してくれたSafeBreachの活動に感謝しています。マイクロソフトは、徹底的な調査、影響を受けるすべてのバージョンにわたるアップデートの開発、互換性テストを含む広範なプロセスに従い、これらのリスクから保護するための緩和策を積極的に開発しています。

マイクロソフトはまた、この攻撃を軽減するために、パッチの適用されていない古いVirtualization Based Security(VBS)システムファイルを無効にするアップデートに取り組んでいると述べた。しかし、影響を受けるファイル数が多いため、このアップデートのテストには時間がかかるという。