Windows Updateのダウングレード攻撃により最新状態のシステムが「未パッチ状態」に(CVE-2024-38202、CVE-2024-21302)
BleepingComputer – August 7, 2024
現在開催中のBlack Hat 2024において、SafeBreachの研究者Alon Leviev氏がWindowsのゼロデイ脆弱性CVE-2024-38202およびCVE-2024-21302について報告。これらを悪用すれば、完全にアップデートされた状態のWindows 10、Windows 11、Windows Serverシステムを「未パッチ状態」、つまり古い脆弱性の影響を受ける状態へダウングレードさせることが可能になるという。
ゼロデイの概要:CVE-2024-38202、CVE-2024-21302
CVE-2024-38202:Windows Update スタックの特権昇格
1つ目のゼロデイは、Windows Update スタックにおける特権昇格の脆弱性。基本的なユーザー権限を持つ攻撃者がこの悪用に成功すると、それまでに緩和されていたセキュリティ欠陥の「パッチを解除」したり、仮想化ベースのセキュリティ(VBS)機能を回避したりできるようになると説明されている。
CVE-2024-21302:Windowsセキュアカーネルモードの特権昇格
2つ目は、Windowsセキュアカーネルモードにおける特権昇格の脆弱性。管理者権限を持つ攻撃者がこの悪用に成功すると、Windowsのシステムファイルを古く脆弱なバージョンへ置き換えることが可能になるとされている。
ダウングレード攻撃「Windows Downdate」
今回明かされたダウングレード攻撃は、最新状態のターゲット端末を強制的に古いソフトウェアバージョンへとロールバックさせ、修正されていたはずの脆弱性を再び悪用可能な状態にするというもの。
上記2件のゼロデイ脆弱性を悪用することで、DLLやNTカーネルを含む重要なOSコンポーネントのダウングレードが可能になる。しかしその後のWindows Updateによるチェックでは「完全に最新」の状態だと認識されてしまうため、復旧/スキャンツールでこの問題を検出することはできない。また、Credential Guardのセキュアカーネルおよび分離ユーザー モード(IUM)プロセスやHyper-Vのハイパーバイザーをダウングレードさせて、古い特権昇格の脆弱性を悪用できる状態にすることも可能だという。
なおLeviev氏はCredential GuardとHVCI(ハイパーバイザーで保護されたコード整合性)を含むVBS機能を、たとえUEFIロックがかかっていたとしても無効化する方法を複数発見している。同氏によれば、物理アクセスなしでVBSのUEFIロックがバイパスされるのはこれが初めてのことだという。
EDRでは防げず
このダウングレード攻撃はEDRソリューションでブロックできるものではないため、検出が不可能。またダウングレード後もWindows Updateはデバイスが「完全にアップデートされた状態」だと認識してしまうため、視認することもできないとされる。
パッチは未リリース
両脆弱性は今年2月にマイクロソフトへ報告されているが、修正プログラムの作成はまだ完了していない。パッチリリースまでの間、利用者には公式アドバイザリに記載の推奨事項に従って悪用リスクを緩和することが推奨される。なお同社によれば、実際の攻撃でこの脆弱性を悪用しようとする試みがなされたとは認識していないとのこと。