ラスベガスで開催された Black Hat 情報セキュリティ カンファレンスで、セキュリティ研究者は、ハッカーがWindows Updateプログラムを操作してシステム セキュリティを悪化させる可能性があるという憂慮すべきシナリオを提示しました。彼は、犯罪者が使い慣れた Microsoft プログラムを悪用するために使用できるテクニックを実演しました。
危険の源としての Windows Update
「犯罪者がアップデートを改ざんしたらどうなるのですか?」と SafeBreach のセキュリティ研究者である Leviev 氏がカンファレンスで質問し、攻撃者が Windows のセキュリティに根本的な変更を加える方法を示したと PCMag が報じています。 2022 年に発生した有名な Black Lotus 攻撃が、Leviev 氏に調査を開始するきっかけを与えました。これにより、Windows 11 のセキュア ブート システムをバイパスすることができました。
この攻撃により、ハッカーがこれらのコンポーネントの 1 つを古い脆弱なバージョンに置き換えることでシステムを侵害できることが示されました。 Microsoft は古い脆弱なコンポーネントをブロックすることで対応しました。
しかしレヴィエフにとってそれだけでは十分ではなかった。彼は、Windows Update の他のコンポーネントに他の脆弱性があるかどうかを知りたいと考えていました。ダウングレード攻撃が成功するには、検出されず、目に見えず、永続的かつ不可逆的である必要があるとセキュリティ研究者は説明しました。次の通常のアップデートで変更を隠すのは特に困難でした。
読書のヒント: 大規模なインターネット障害: 致命的なエラーにより世界中のコンピューター、空港、診療所が麻痺する
マイクロソフトは反応するでしょうか?
研究者は最終的に、再起動中に実行されるアクション リストの脆弱性を発見しました。これらを制御することで、Leviev は Windows Update の機能を最大限に活用してシステムに変更を加えることができました。変更が元に戻されるのを防ぐために、彼はアクション リストを分析するコンポーネントを侵害しました。 「これにより、世界中のすべての Windows マシンで『完全にパッチが適用された』という用語が無意味になります」と Leviev 氏は結論付けました。
Leviev 氏はプレゼンテーションの中で、攻撃が Windows カーネルとハイパーバイザー システムの侵害にどのようにつながるかを実証しました。ライブ デモでは、安全な Windows 11 インストールを変更して Credential Guard を無効にし、他の重要なセキュリティ コンポーネントを置き換える方法を示しました。これにより、彼はシステム パスワードやその他の機密データにアクセスできるようになりました。聴衆は感動して拍手を送りました。
この攻撃は今のところ理論上のものにすぎませんが、犯罪者の手に渡れば重大な結果をもたらす可能性があります。 「おそらく次回の Black Hat カンファレンスでは、このダウングレード攻撃から Windows をどのように保護したかを説明する Microsoft のプレゼンテーションが見られるでしょう」と Leviev 氏は期待しています。それまでは、Windows Update が危険な攻撃のゲートウェイとして使用される可能性があるという懸念が残ります。
出典: PCMag