Windows Downdateのその後｜ブログ(ほぼこもセキュリティニュース)

Windows Downdate、2024年の8月に話題になりました。
その続報です。

CVE-2024-21302
これは2024年8月当時に確認されていたDowndateに関連する脆弱性です。
この脆弱性は想定されたセキュリティ境界を超える動きをするものと認識され、その後修正パッチが開発・リリースされました。
ItsNotASecurityBoundary
これはDowndateの際に一緒に話が出ていた問題です。
これは研究者から見ると問題なのですが、マイクロソフトの見解では、これは脆弱性ではないというのです。
内容から考えた場合に、この問題は想定されたセキュリティ境界を越えた動作を行うものではないということで、脆弱性と認識されず、現在も修正されていません。
脆弱性ではないのだから修正しない、ということでしょうか。

DowndateはDowngrade attacksです。
これを可能としてしまう問題は現時点でも存在した状態となっているため、完全にパッチを適用した状態のWindows11においても、Downdateが可能です。
システムの状態を確認すると、システムが完全に更新された状態であると表示されるのですが、実際には一部のソフトウェアモジュールが脆弱な古いバージョンの内容に変更されてしまっていて、攻撃を成り立たせることができる状態にしてしまえます。

ItsNotASecurityBoundaryの緩和策は現在準備が進められています。
ItsNotASecurityBoundaryの修正ということではないのですが、ItsNotASecurityBoundaryが悪用している古いソフトウェアモジュールを無効化する内容で対応しておこうということのようです。

セキュリティ対策はこれをやればよい、というようなものがありません。
資産状況を把握し、適切なインターバルでパッチを適用し、設定は適切な状態に保つ必要があります。
なにか対策のできていない事項が残ったままになっているとき、そこから安全状態が瓦解してしまうこともあります。
蟻の一穴天下の破れ、といったところでしょうか。
できないことまでやることはできませんが、できることは実施していきたいものです。