Windows Updateが狙われています

主なポイント

• Windows Update プロセスを悪用して、完全にパッチ済みのシステムでも過去の脆弱性を再び利用できるようにする新しい手法
• 攻撃者はWindows カーネルコンポーネントのダウングレードを行うことで、ドライバー署名の検証を回避し、ルートキットを導入できる
• この手法は、完全にパッチ済みのシステムでも、最新のコンポーネントを古いバージョンに置き換えることで実現される

社会的影響

• 完全にパッチ済みのシステムでも過去の脆弱性が再び利用できるようになるため、セキュリティ対策の信頼性が失われる
• ルートキットの導入により、システムの完全な制御を奪われ、重大な被害につながる可能性がある
• この手法が悪用されれば、多くのWindows ユーザーが被害に遭う可能性がある

編集長の意見

この問題は非常に深刻であり、Windows のセキュリティ機能を根底から揺るがすものです。完全にパッチ済みのシステムでも過去の脆弱性が再び利用できるようになるのは大問題で、ユーザーの信頼を失わせかねません。エンドポイントセキュリティツールによる慎重な監視と、Microsoft による迅速な修正が求められます。また、ダウングレード攻撃に対する根本的な解決策の検討も必要でしょう。

背景情報

• Windows のカーネルセキュリティは近年大幅に強化されているが、コンポーネントのダウングレードによりこれらの保護機能を回避できる
• この手法は、「ItsNotASecurityBoundary」と呼ばれる新しい脆弱性クラスの一部であり、管理者権限からカーネル権限への昇格を可能にする
• Microsoft は Landau の報告を受けて ItsNotASecurityBoundary の特権昇格を修正したが、ダウングレード攻撃に対する防御にはなっていない