Windows DowndateはDowngrade attacksです。
いろいろなソフトウェアには、いろいろな脆弱性が確認されています。
脆弱性は注意と対策が必要な厄介な問題ですが、それに対応したバージョンのソフトウェアを利用するようにすることで対応できるものです。
しかし、この取り組みを難しくしてしまう問題が確認されています。
脆弱性対策を難しくしてしまう脆弱性とでも言いましょうか。
- CVE-2024-38202
Windowsバックアップの権限昇格の脆弱性により、基本的なユーザー権限を持つ攻撃者が、以前に軽減された脆弱性を再び導入したり、仮想化ベースセキュリティ(VBS)の一部の機能を回避したりする可能性があります。
ただし、この脆弱性を悪用しようとする攻撃者が成功するには、特権ユーザーによる追加の操作が必要です。 - CVE-2024-21302
Windowsセキュアカーネルモード権限昇格に関する脆弱性です。
この脆弱性により、管理者権限を持つ攻撃者がWindowsシステムファイルの現在のバージョンを古いバージョンに置き換えることができます。
この脆弱性を悪用すると、攻撃者は以前に軽減された脆弱性を再び導入し、VBSの一部の機能を回避し、VBSによって保護されているデータを盗み出す可能性があります。
言い回しが難しく、内容を想像しにくいかもしれません。
これらの脆弱性を組み合わせて利用することの効能は、こう表現できます。
「完全にパッチを当てたWindowsマシンを過去の何千もの脆弱性の影響を受けやすくし、修正された脆弱性をゼロデイに変え、世界中のどのWindowsマシンでも『完全にパッチを当てた』という言葉を無意味にすることができることを示す」
とても怖いです。
この攻撃が成り立った状態になってしまった場合、このダウングレード攻撃はEDRソリューションではブロックできないため検出できません。
また、Windows Updateではシステムがダウングレードされているにもかかわらず、デバイスが完全に更新されたと見える状態になるため、問題が発生していることを確認することができません。
これら2つの脆弱性は発見されてMicrosoftに連絡されてから6か月が経過したものです。
このため、脆弱性の情報は公開されるに至りました。
しかし、記事作成時点において、まだこれらへの対策となるパッチは提供されていません。
マイクロソフトのサイトには直接的な緩和策の提示はありませんが、推奨されるアクションが示されています。
Windows DowndateはWindows環境での問題となっていますが、それ以外のOSにおいても、Downgrade attacksが存在しうることを認識する必要がありそうです。
パッチの適用がタイムリーにできているからよい、というようなことでなく、必要最小限の範囲で権限を設定するだとか、利用者を適切に制限するといったような根本的なシステムの利用に関する設計と運用も重要と認識する必要がありそうです。
Windows Downdate: Downgrade Attacks Using Windows Updates
https://www.safebreach.com/blog/downgrade-attacks-using-windows-updates/
Windows Update Stack Elevation of Privilege Vulnerability CVE-2024-38202
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38202
Windows Secure Kernel Mode Elevation of Privilege Vulnerability CVE-2024-21302
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21302
この記事をシェア |
---|