Windowsにゼロデイ脆弱性発見、修正パッチをロールバックされる恐れ

2024年8月8日 14時52分

SafeBreachは8月7日(米国時間)、「Downgrade Attacks Using Windows Updates｜SafeBreach」において、Microsoft Windowsから複数のゼロデイの脆弱性を発見したと報じた。これら脆弱性は、発見者により「Windows Downdate」と名付けられており、悪用されると修正パッチをロールバックされる可能性がある。

Windows Downdateは2024年2月にMicrosoftに報告されたが、修正パッチは公開されていない。今回は脆弱性情報調整(CVD: Coordinated Vulnerability Disclosure)の考えに基づき未解決のまま情報が公開された(参考：「JPCERT コーディネーションセンター脆弱性対策情報」)。

Downgrade Attacks Using Windows Updates｜SafeBreach

○脆弱性の情報

脆弱性に関する情報は次のページにまとまっている。

CVE-2024-38202 - セキュリティ更新プログラムガイド - Microsoft - Windows Update Stack Elevation of Privilege Vulnerability

CVE-2024-21302 - セキュリティ更新プログラムガイド - Microsoft - Windows Secure Kernel Mode Elevation of Privilege Vulnerability

脆弱性の情報(CVE)は次のとおり。

CVE-2024-38202 - Windowsバックアップに特権昇格の脆弱性。システムにログイン可能な攻撃者は特権ユーザーによる追加の操作を介して修正パッチのロールバックおよび仮想化ベースのセキュリティ(VBS: Virtualization-based Security)の一部機能を回避する可能性がある

CVE-2024-21302 - 仮想化ベースのセキュリティをサポートするシステムに特権昇格の脆弱性。管理者権限を持つ攻撃者はWindowsのシステムファイルを古いバージョンに置き換えることができる

○脆弱性が存在する製品

脆弱性が存在するとみられる製品およびバージョンは次のとおり。これらは変更される可能性がある。

Windows 11 Version 23H2

Windows 11 Version 22H2

Windows 11 Version 21H2

Windows 10 Version 22H2

Windows 10 Version 21H2

Windows 10 Version 1809

Windows 10 Version 1607

Windows 10

Windows Server 2022, 23H2 Edition

Windows Server 2022

Windows Server 2019

Windows Server 2016

○影響と対策

Windows Downdateを悪用されると、攻撃者は過去の脆弱性をすべて復元することができる。この変更はWindows Updateから検出されないため、管理者は認識できないという。その結果、攻撃者はセキュリティソリューションを使用しても防御できない脆弱な環境を構成することができる。

これら脆弱性のうち、最も深刻度の高いものは重要(Important)と評価されており注意が必要。Microsoftは修正パッチ提供までの間、軽減策として以下を参考に最小権限の原則を実施するよう推奨している。

Audit: Audit the use of Backup and Restore privilege (Windows 10) - Windows 10 | Microsoft Learn

Audit Sensitive Privilege Use - Windows 10 | Microsoft Learn

Creating a DACL - Win32 apps | Microsoft Learn

Audit Sensitive Privilege Use - Windows 10 | Microsoft Learn

SafeBreachは報告の最後に、後日これら脆弱性のエクスプロイトを公開する予定と発表した。このエクスプロイトは企業のセキュリティ調査とリスク軽減に活用できるという。

みんなの感想は？

Windowsにゼロデイ脆弱性発見、修正パッチをロールバックされる恐れ

外部サイト

ランキング

外部サイト

おすすめ記事

ランキング