SafeBreachのセキュリティ研究者であるAlon Levievは、最新のWindows 10、Windows 11、およびWindows Serverシステムに古い脆弱性を再導入するダウングレード攻撃に使用できるWindows Downdateツールをリリースした。
このような攻撃では、脅威者は最新のターゲット・デバイスを古いソフトウェア・バージョンに強制的に戻すことで、システムを侵害するために悪用可能なセキュリティ脆弱性を再導入する。
Windows Downdateは、オープンソースのPythonベースのプログラムおよびコンパイル済みのWindows実行ファイルとして提供されており、Windows 10、Windows 11、およびWindows Serverのシステムコンポーネントをダウングレードするのに役立ちます。
Leviev氏はまた、Hyper-Vハイパーバイザー(2年前のバージョンに)、Windowsカーネル、NTFSドライバー、Filter Managerドライバー(基本バージョンに)、その他のWindowsコンポーネントや以前に適用されたセキュリティパッチをダウングレードできる複数の使用例を共有している。
「DLL、ドライバ、NTカーネル、セキュア・カーネル、ハイパーバイザ、IUMトラストレットなどに潜む過去の脆弱性を、Windowsアップデートを引き継いでダウングレードし、公開することができます」と、SafeBreachのセキュリティ研究者であるAlon Leviev氏は説明する。
“カスタムダウングレード以外に、Windows Downdateは、CVE-2021-27090、CVE-2022-34709、CVE-2023-21768、PPLFaultのパッチを元に戻す、ハイパーバイザー、カーネルをダウングレードする、VBSのUEFIロックをバイパスする、といった使いやすい使用例を提供している。”
Leviev氏がBlack Hat 2024で、CVE-2024-21302と CVE-2024-38202の脆弱性を悪用したWindows Downdateダウングレード攻撃を公開した際に述べたように、このツールを使用すると、エンドポイントの検出と応答(EDR)ソリューションによってブロックすることができず、Windows Updateが(ダウングレードされているにもかかわらず)標的のシステムが最新であると報告し続けるため、検出することができません。
“私は、UEFIロックで強制されている場合でも、Credential GuardやHypervisor-Protected Code Integrity(HVCI)などの機能を含むWindows仮想化ベースのセキュリティ(VBS)を無効にする複数の方法を発見しました。私の知る限り、物理的なアクセスなしにVBSのUEFIロックがバイパスされたのはこれが初めてです。
「その結果、私は、完全にパッチが適用されたWindowsマシンを、何千もの過去の脆弱性の影響を受けやすくすることができた。
マイクロソフトは8月7日、Windows Secure Kernel Modeの特権昇格の欠陥CVE-2024-21302を修正するセキュリティ更新プログラム(KB5041773)をリリースしたが、同社はWindows Update Stackの特権昇格の脆弱性CVE-2024-38202に対するパッチをまだ提供していない。
セキュリティ更新プログラムがリリースされるまでの間、レドモンド社は顧客に対し、Windows Downdateダウングレード攻撃から保護するために、今月初めに発表されたセキュリティ勧告で共有されている推奨事項を実施するよう助言している。
この問題の緩和策としては、ファイルアクセスの試行を監視するための「オブジェクトアクセスの監査」設定の構成、更新および復元操作の制限、ファイルアクセスを制限するためのアクセス制御リストの使用、およびこの脆弱性を悪用しようとする試みを特定するための権限の監査が含まれる。
Comments