Windowsをダウングレードさせて既知の脆弱性を悪用する方法 SafeBreachが公開:セキュリティニュースアラート
SafeBreachはWindowsのドライバー署名強制を回避し、システムを侵害するダウングレード攻撃手法を紹介した。「Windows Downdate」と呼ばれるツールにより過去に修正された脆弱性が復元され、侵害に成功している。
SafeBreachは2024年10月26日(現地時間)、「Windows」のダウングレード攻撃に関する研究結果を公開した。Windowsの重要なセキュリティ機能であるドライバー署名の強制(DSE:Driver Signature Enforcement)をバイパスし既知の脆弱(ぜいじゃく)性を復元させる方法が紹介されており、最新パッチが適用されたシステムが脆弱になる可能性があるという。
SafeBreachがWindowsのダウングレード攻撃手法を公開
報告された研究結果ではSafeBreachの研究者が開発した「Windows Downdate」と呼ばれるツールが使用された。このツールにはWindows Updateのプロセスを乗っ取り、システムをダウングレードさせる機能がある。Windows Downdateを使用することで過去に修正された脆弱性を復元させ、システムを侵害することが可能になる。
紹介されたダウングレード攻撃はWindows Downdateの他に「ItsNotASecurityBoundary」というエクスプロイトも使用されている。ItsNotASecurityBoundaryはドライバー署名強制機能をバイパスするエクスプロイトだ。実際にパッチが適用された「Windows11 バージョン23H2」をダウングレードさせ、攻撃に成功した様子が収められたデモ動画が公開されている。
SafeBreachはこのダウングレード攻撃に対してUEFIロックとMandatory(必須)フラグを設定して仮想化ベースのセキュリティ(VBS)を有効化する緩和策の実施を提案している。この緩和策を実施することでVBSの無効化を防止し、脆弱性の悪用を阻止できるとしている。なおUEFIロックと「必須」フラグを有効にして設定を変更した場合、変更を適用するためにシステムを再起動する必要がある。
カーネルセキュリティの脆弱性は依然として攻撃者にとって魅力的な標的だ。OSやカーネルのセキュリティ強化が進んだとしても攻撃者が既知の脆弱性の再利用を狙う可能性があるため、継続的な監視および適切なセキュリティ対策を実施することが推奨される。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
サポート切れが迫るのはWin10だけじゃない? 注意しておきたいもう一つのリミット
ついにWindows 10のサポート終了まで1年を切りました。さまざまな事情があるかとは思いますが、セキュリティ的にもOSのアップグレードは必須でしょう。これに加えてもう一つ、無視できない“サポート終了”の期限が迫っているようです。
イセトーのランサムウェア被害、感染経路はVPN 調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。
企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。