SafeBreachはWindowsのドライバー署名強制を回避し、システムを侵害するダウングレード攻撃手法を紹介した。「Windows Downdate」と呼ばれるツールにより過去に修正された脆弱性が復元され、侵害に成功している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
SafeBreachは2024年10月26日(現地時間)、「Windows」のダウングレード攻撃に関する研究結果を公開した。Windowsの重要なセキュリティ機能であるドライバー署名の強制(DSE:Driver Signature Enforcement)をバイパスし既知の脆弱(ぜいじゃく)性を復元させる方法が紹介されており、最新パッチが適用されたシステムが脆弱になる可能性があるという。
報告された研究結果ではSafeBreachの研究者が開発した「Windows Downdate」と呼ばれるツールが使用された。このツールにはWindows Updateのプロセスを乗っ取り、システムをダウングレードさせる機能がある。Windows Downdateを使用することで過去に修正された脆弱性を復元させ、システムを侵害することが可能になる。
紹介されたダウングレード攻撃はWindows Downdateの他に「ItsNotASecurityBoundary」というエクスプロイトも使用されている。ItsNotASecurityBoundaryはドライバー署名強制機能をバイパスするエクスプロイトだ。実際にパッチが適用された「Windows11 バージョン23H2」をダウングレードさせ、攻撃に成功した様子が収められたデモ動画が公開されている。
SafeBreachはこのダウングレード攻撃に対してUEFIロックとMandatory(必須)フラグを設定して仮想化ベースのセキュリティ(VBS)を有効化する緩和策の実施を提案している。この緩和策を実施することでVBSの無効化を防止し、脆弱性の悪用を阻止できるとしている。なおUEFIロックと「必須」フラグを有効にして設定を変更した場合、変更を適用するためにシステムを再起動する必要がある。
カーネルセキュリティの脆弱性は依然として攻撃者にとって魅力的な標的だ。OSやカーネルのセキュリティ強化が進んだとしても攻撃者が既知の脆弱性の再利用を狙う可能性があるため、継続的な監視および適切なセキュリティ対策を実施することが推奨される。
Copyright © ITmedia, Inc. All Rights Reserved.