OSを古い状態へ巻き戻す「Windows Downdate」攻撃に注意喚起／延期されたAI機能「Recall」が10月公開へ：週末の「気になるニュース」一気読み！（1/3 ページ）

[山本竜也，ITmedia]

　うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、8月18日週を中心に公開された主なニュースを一気にチェックしましょう！

OSを古い状態へ巻き戻す「Windows Downdate」攻撃に注意喚起

　セキュリティベンダーの露Kaspersky Labは8月20日（米国時間）、Windowsを古いバージョンにダウングレードさせて、既知の脆弱（ぜいじゃく）性を利用できるようにしてしまう「Windows Downdate」攻撃の詳細を公開した。

　サイバーセキュリティ企業のSafeBreachに所属する研究者が、セキュリティカンファレンス「Black Hat USA 2024」で発表したものだ。

OSを古いバージョンに巻き戻す「Windows Downdate」攻撃の詳細が公開された

　Windows Downdateは、以下の2つの脆弱性を利用して実行される。

• CVE-2024-21302：Windows 保護カーネル モードの特権の昇格の脆弱性
• CVE-2024-38202：Windows Update スタックの特権の昇格の脆弱性

　これらの脆弱性を利用することで、整合性検証やTrusted Installerの適用など、Windows Update中に実行される全ての検証手順をバイパスして、ダウングレード更新を作成できるようになる。これにより、DLL、ドライバー、さらにはNTカーネルを含む重要なOSコンポーネントをダウングレードすることができてしまうという。

　さらにその状態ではWindows Updateで最新の更新をインストールすることもできず、回復ツールとスキャンツールでは問題を検出できなかったとしている。

　米Microsoftは2024年2月にこの脆弱性について報告を受けたが、2024年8月まで詳細は明かされなかった。現在、対応中とのことだが、修正にはシステムクラッシュなどの副作用を伴うため、急いでパッチを提供するようなことはせず、いくつかの緩和策を発表している。

　また、以下のような効果がある更新プログラムKB5042562を適用することで、 CVE-2024-21302が悪用されるリスクを軽減できるという。

• システムの復元および更新操作を実行する権限を持つユーザーを監査し、そのようなユーザーの数を最小限に抑え、可能な場合は権限を取り消す
• アクセス制御リスト（ACL／DACL）を実装して、更新ファイルへのアクセスと変更を制限する
• 昇格された権限を使用して更新ファイルを変更または置き換えるインスタンスのイベント監視を構成する。これは、脆弱性の悪用の指標となる可能性がある
• VBSサブシステムおよびシステムファイルのバックアップに関連付けられたファイルの変更と置換を監視する

延期されたAI機能「Recall」が10月公開へ

　米Microsoftは8月21日（現地時間）、Copilot+ PCの目玉機能として6月にリリースを予定していた「Recall」（リコール）機能を、改めて10月にWindows Insider向けとして提供を始めると明らかにした。

Microsoftが、Copilot+ PCのRecall機能をWindows Insider向けに提供する

　Recallは、PC上の作業をスクリーンショットとして記録し、Copilot＋ PCのオンデバイスAIにより後から検索できるようにするというもの。「前に画面上で見ていた白いスニーカーはどこのブランドか」といったことも検索できるようになる。

　当初、6月18日のCopilot+ PC発売と同時にリリース予定だったが、プライバシーとセキュリティの懸念が払拭できず、Recallの提供を延期していた。Microsoftは「セキュリティは引き続き最優先事項であり、10月にRecallがWindows Insiderに提供される際には、詳細を記載したブログを公開する」としていた。