SafeBreachは10月26日(米国時間)、「Update on Windows Downdate|SafeBreach」において、Windows Downdateによる既知の脆弱性を復元する手法を解説した。修正パッチを適用したWindows11バージョン23H2に対し実証実験を行い、不正なドライバーをロードすることに成功している。

  • Update on Windows Downdate|SafeBreach

    Update on Windows Downdate|SafeBreach

「Windows Downdate」とは

Windows DowndateはSafeBreachにより発見されたWindowsの脆弱性。攻撃者は脆弱性を悪用することで、修正パッチをロールバック可能とされる。脆弱性の概要は「Windowsにゼロデイ脆弱性発見、修正パッチをロールバックされる恐れ | TECH+(テックプラス)」にて伝えている。

ドライバー署名の強制をバイパスする脆弱性

今回、SafeBreachはWindows Downdateを使用し、ドライバー署名の強制をバイパスする既知の脆弱性を復元できるか検証している。この検証には脆弱性を悪用するエクスプロイト「GitHub - gabriellandau/ItsNotASecurityBoundary」が使用された。

実験対象の環境には、修正パッチを適用したWindows11バージョン23H2を採用。Windows Downdateを使用して脆弱性を復元し、次にエクスプロイトを実行して結果を確認する。

SafeBreachは実験の様子を動画にて公開しており、一連の攻撃に成功したことを明らかにしている。動画の最後ではWindows Updateが不正に差し替えられた古いバージョンを検出できず、最新の状態を報告する様子も映し出している。

軽減策

SafeBreachはWindows Downdateの軽減策として、UEFI(Unified Extensible Firmware Interface)ロックと、Mandatory(必須)モードで仮想化ベースのセキュリティ(VBS: Virtualization-based Security)を有効化する方法を提案している。

UEFIロックを有効化するコマンドは次のとおり。

reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “Locked” /t REG_DWORD /d 1 /f

Mandatory(必須)モードで仮想化ベースのセキュリティを有効化するコマンドは次のとおり。

reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “Mandatory” /t REG_DWORD /d 1 /f

Mandatory(必須)モードで仮想化ベースのセキュリティを有効化する場合、特別な注意が必要とされる。SafeBreachはこの緩和策を導入する前に公式ドキュメント「Enable memory integrity | Microsoft Learn」を閲覧し、導入の可否を検討するように推奨している。