Des Rootkits capables de contourner les défenses de Windows en rétrogradant les mises à jour
Homeウィンドウズアップデートをダウングレードすることで Windows の防御を回避できるルートキット
ウィンドウズ

アップデートをダウングレードすることで Windows の防御を回避できるルートキット

By Jean-Luc Pircard , on 10月 29, 2024 , updated on 10月 30, 2024 — ITセキュリティ, アップデート, ウィンドウズ, サイバー犯罪, ルートキット - 1 minute to read
Notez-moi

ルートキット これらは、特定の脆弱性を悪用してセキュリティ更新プログラムをバイパスできるため、Windows システムにとって重大な脅威となります。と呼ばれるこのテクニックは、 ダウングレード攻撃を使用すると、サイバー犯罪者がシステムを以前のバージョンに戻すことができ、コンピュータが最新であっても脆弱なままになります。などのコンポーネントを処理することで、 Windows カーネル などのセキュリティ機能をバイパスします。 ドライバーの署名の強制、攻撃者はシステムに侵入し、ルートキットをインストールし、悪意のあるアクティビティを隠蔽することで、システムの完全性を脅かす可能性があります。

今日のサイバーセキュリティ環境において、ルートキットは Windows を含むオペレーティング システムに対して依然として恐るべき脅威となっています。最近、ルートキットがセキュリティ アップデートをダウングレードすることで脆弱性を悪用し、それによって最新のシステムであっても組み込みの防御機能を回避できることが判明しました。この記事では、この脆弱性の性質、攻撃者がそれを利用する方法、およびシステム セキュリティへの影響について説明します。

Windows の防御を回避できるルートキット

ルートキット は、オペレーティング システムの奥深くに隠れてハッカーにステルス アクセスを提供するように設計された高度なマルウェア プログラムです。これらは、システムに加えられた変更を隠す機能があるため、多くの場合、検出が困難です。ルートキットが特に危険なのは、重要なセキュリティを無効にして、サイバー犯罪者がユーザーの知らないうちにコンピュータを制御できるようにする機能です。

サイバーセキュリティ研究者であるアロン・レヴィエフ氏による最近の発見は、 。サイバー犯罪者は、攻撃手法を使用して、適用されたセキュリティ更新プログラムをロールバックまたはダウングレードし、それによって脆弱なコンポーネントをシステムに再導入する可能性があります。これにより、実行への道が開かれます ルートキット などの防御メカニズムを回避することができます。 ドライバーの署名の強制 (DSE)。

Windows 更新プログラムをダウングレードするプロセス

脆弱性は攻撃者の操作能力にあります。 Windowsアップデート そして、最近のコンポーネントを古いバージョンや脆弱なバージョンに置き換えます。この欠陥を悪用すると、一見最新のシステムが瞬時に脆弱になる可能性があります。特に懸念されるのは、これによりハッカーが目に見える痕跡を残さずに重要なセキュリティ対策を回避できることです。

ドライバー署名の強制の仕組み

機能性 ドライバーの署名の強制 Windows では、有効なデジタル署名を持つドライバーのみをロードできるようにする上で重要な役割を果たします。これにより、悪意のある可能性のあるソフトウェアがカーネル レベルで読み込まれるのを防ぎます。残念ながら、この対策を回避すると、攻撃者は署名されていないドライバーをロードしてインストールすることができます。 ルートキット、システムのセキュリティを著しく脅かします。

Windows Downdate ツール

Leviev は、彼が開発したツールを使用してこの攻撃の有効性を実証しました。 Windowsアップデート。このツールは、システムが保護されているはずの場合でも、重要な Windows コンポーネントを簡単に交換またはダウングレードできることを強調しています。彼が説明する攻撃手法の 1 つは、ファイルの脆弱性を利用したものです。


ci.dll

セキュリティルールをバイパスします。

仮想化ベースのセキュリティ (VBS) の課題

そこには 仮想化ベースのセキュリティ (VBS) は、カーネル コードの整合性メカニズムなどの重要な要素を保護することを目的としたもう 1 つの防御層です。ただし、次のようなファイルが保存されると、特定の設定を悪用してこの保護を無効にすることができます。


SecureKernel.exe

置き換えられるため、重要なコンポーネントのダウングレードが容易になります。

マイクロソフトの取り組みと対応

Microsoft はこれらの攻撃に関連する主要な脆弱性のいくつかを特定し、いくつかの主要なエクスプロイト (CVE-2024-21302 および CVE-2024-38202) に対するパッチをすでに発行していますが、課題は依然として重大です。考えられる攻撃ベクトルを正確に特定するだけでなく、攻撃のプロセスを確実に行うための継続的な更新も必要です。 Windowsアップデート 許可されていないエンティティによって侵害されることはありません。

Windows Update ダウングレードを使用したルートキットの比較

特性 説明
使用したテクニック Windows カーネル コンポーネントのダウングレード
客観的 セキュリティパッチをバイパスする
対象となるコンポーネント カーネル、DLL、古いドライバー
防御機構が回避される ドライバーの署名の強制
システムへの影響 ルートキットのインストール
ユーザーに対するリスク セキュリティとシステムの完全性の喪失
提案されたソリューション 定期的な更新と古いファイルの取り消し
既知の脆弱性 CVE-2024-21302、CVE-2024-38202
証明された効果 BlackHat および DEFCON カンファレンスで発表
推奨される保護 ウイルス対策の使用とアップデートの監視
  • 女が28歳までに考えておきたいこと―「強運な女」になる秘密 あなたの“未来のハッピー度”を10倍アップするガイドブック
    Binding : Gebundene Ausgabe, medium : Gebundene Ausgabe, ISBN : 4837920845
    6.49 €
  • 説得できる企画・提案200の鉄則 相手の行動変革を促す知的生産はこう実践する
    Binding : Gebundene Ausgabe, PackageQuantity : 1, medium : Gebundene Ausgabe, ISBN : 4822291839
    15.49 €
  • 「ロウソクの科学」が教えてくれること 炎の輝きから科学の真髄に迫る、名講演と実験を図説で (サイエンス・アイ新書)
    Binding : Taschenbuch, medium : Taschenbuch, ISBN : 4797397489
    8.99 €
Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Comments

Leave a comment

Your comment will be revised by the site if needed.