Windowsのセキュリティパッチを全て巻き戻すゼロデイ脆弱性が見つかるセキュリティニュースアラート

SafeBreachはWindowsに複数のゼロデイ脆弱性を発見したと発表した。これらの脆弱性は「Windows Downdate」と呼ばれ、悪用されると修正パッチがロールバックされる恐れがある。

» 2024年08月09日 08時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 セキュリティ企業のSafeBreachは2024年8月7日(現地時間)、「Microsoft Windows」に複数のゼロデイ脆弱(ぜいじゃく)性を発見したと発表した。同社は発見した脆弱性を「Windows Downdate」と呼んでいる。これらの脆弱性を悪用された場合、これまでに「Windows」に適用した修正パッチがロールバックされる可能性があるとしている。

修正パッチを巻き戻せるゼロデイ脆弱性Windows Downdateの詳細は?

 Microsoftは脆弱性の影響を受ける製品として多数のWindowsのバージョンと「Windows Server」のバージョンを挙げている。Windows Downdateを仕掛けられた場合、サイバー攻撃者はこれまでに適用された修正パッチを巻き戻して悪用可能な脆弱性を大量に作り出すことが可能になる。

 SafeBreachはこの脆弱性について2024年2月の段階で既にMicrosoftに報告しており、Microsoftはこの問題について以下の2つの脆弱性情報データベース(CVE)を発行している。

 Microsoftはこの脆弱性の影響を受ける製品として以下のリストを挙げている。

  • Windows 10 32ビット版
  • Windows 10 64ビット版
  • Windows 10 Version 1607 32ビット版
  • Windows 10 Version 1607 64ビット版
  • Windows 10 Version 1809 32ビット版
  • Windows 10 Version 1809 ARM64版
  • Windows 10 Version 1809 64ビット版
  • Windows 10 Version 21H2 32ビット版
  • Windows 10 Version 21H2 ARM64版
  • Windows 10 Version 21H2 64ビット版
  • Windows 10 Version 22H2 32ビット版
  • Windows 10 Version 22H2 ARM64版
  • Windows 10 Version 22H2 64ビット版
  • Windows 11 version 21H2 ARM64版
  • Windows 11 version 21H2 64ビット版
  • Windows 11 Version 22H2 ARM64版
  • Windows 11 Version 22H2 64ビット版
  • Windows 11 Version 23H2 ARM64版
  • Windows 11 Version 23H2 64ビット版
  • Windows 11 Version 24H2 ARM64版
  • Windows 11 Version 24H2 64ビット版
  • Windows Server 2016
  • Windows Server 2016(サーバコアインストール)
  • Windows Server 2019
  • Windows Server 2019(サーバコアインストール)
  • Windows Server 2022
  • Windows Server 2022(サーバコアインストール)
  • Windows Server 2022, 23H2 Edition(サーバコアインストール)

 Windows Downdateによって、これまでに適用された修正パッチを巻き戻された場合、この変更はWindows Updateから検出できず、管理者も認識できないと考えられている。これはセキュリティソリューションによる防御が現時点では難しいことを示唆しており、リスクの高い状況を生み出すことが懸念される。

 ソフトウェアをセキュリティアップデートが適用された最新バージョンにアップデートし続けることはサイバーセキュリティ対策の基本だが、今回のSafeBreachの発見はこうした取り組みが全て巻き戻されるリスクが存在していることを明らかにした。SafeBreachは今後、今回発表した脆弱性のエクスプロイトを公開するとしており、セキュリティベンダーや関連ベンダーが活用することが求められる。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

あなたにおすすめの記事PR