ハッカーは Windows カーネル レベルを下げてルートキットを作成し、コンピュータを侵害します
ハッカーは、ドライバー署名強制などの重要なセキュリティ機能をバイパスするために、Windows カーネル コンポーネントをダウングレードする手法を使用しています。これにより、完全に更新されたシステムにルートキットが展開され、ほとんどのユーザーが気づいていない Windows コンピュータ上の情報セキュリティが脅かされる可能性があります。
SafeBreach のセキュリティ研究者 Alon Leviev は、Windows でアップデートのハイジャックを可能にする脆弱性を発見しました。 Microsoft は、この問題は定義されたセキュリティ境界を越えるものではないと主張していますが、現実には依然としてハッカーによる侵入の可能性が示されています。
Leviev は、Windows システム上でカスタム ダウングレードを作成する Windows Downdate ツールを作成し、DLL、ドライバー、NT カーネルなどのコンポーネントを通じて発見された脆弱性を公開しました。これにより、修正された脆弱性が攻撃に対して脆弱なままとなり、カーネルのセキュリティが依然として危険にさらされていることを示唆しています。
これらの攻撃は Driver Signature Enforcement (DSE) をバイパスし、未署名のカーネル ドライバーをアップロードしてルートキットを展開する機能を公開する可能性があります。これにより、セキュリティ対策が無効になるだけでなく、攻撃者の活動が隠蔽され、侵入の検出が困難になります。
更新プロセスを通じて Windows カーネル コンポーネントをダウングレードすることにより、ハッカーは DSE の脆弱性を悪用し、ルートキット マルウェアを効果的に展開することができます。これにより、完全に更新された Windows システムに対して予期しない攻撃が行われる可能性があります。
ハッカーは、機能をバイパスするために Windows カーネル コンポーネントをダウングレードできるようになりました 安全 ドライバーの署名の強制と同じくらい重要です。この技術を通じて、彼らは次のことを実現できます。 ルートキット 完全に更新されたシステム上で。これは、Windows コンピュータのセキュリティ リスクが、ほとんどのユーザーが認識できない潜在的な大きな危険であることを意味します。
具体的には、これらの攻撃は、Windows 更新プロセスを制御することによって発生する可能性があります。ハッカーは、オペレーティング システムの更新ステータスを変更せずに、オペレーティング システムが修正した脆弱性を含む古いソフトウェア コンポーネントを更新されたコンピュータに導入する可能性があります。これにより、ユーザーが最善の保護を備えていると信頼している最新のシステムでは、重大なセキュリティ ギャップが生じます。
Windows をダウングレードする
SafeBreach のセキュリティ研究者 Alon Leviev がこの重大な問題について報告し、アップデート ハイジャックの脆弱性の発見に協力しました。 Microsoft は、この問題は定義されたセキュリティ境界を越えるものではないと主張してこれらの懸念を却下しましたが、1 人の攻撃者が管理者権限でカーネル コードを実行できれば侵入が可能になるという慣例は依然として残っています。
今年の BlackHat と DEFCON のセキュリティ カンファレンスで、Leviev 氏は、この攻撃は実行可能でより深刻であり、まだ完全に修正されていないため、さらなるダウングレードや予期せぬ再攻撃の可能性があることを実証しました。 Leviev では、Windows Downdate と呼ばれるツールを使用して、完全に更新されているように見えるターゲット システムを公開するカスタム ダウングレードを作成できますが、実際には DLL、ドライバー、NT カーネルなどの従来のコンポーネントを通じて脆弱性が以前に発見されています。
「完全にパッチが適用された Windows コンピュータを過去の脆弱性の影響を受けやすくし、パッチが適用された脆弱性をパッチなしにして、世界中のどの Windows コンピュータでも『完全にパッチが適用された』『パッチ適用』という用語が事実上無意味になるようにすることができました」と Leviev 氏は述べています。
カーネルのセキュリティは近年著しく向上しましたが、Leviev は依然として Driver Signature Enforcement (DSE) 機能をバイパスでき、攻撃者がアップロードできる可能性があることを示唆しています。 カーネルドライバー 署名がないため、ルートキットマルウェアが展開されます。これにより、セキュリティ対策が無効になるだけでなく、システムへの侵入の検出につながる可能性のある攻撃者のアクティビティが隠蔽されます。
「近年、カーネルのセキュリティが大幅に改善されました。しかし、たとえ管理者権限によって侵害される可能性があると仮定しても、攻撃者にとって物事を簡単にする抜け穴が常に存在します」と Leviev 氏は強調しました。
Leviev 氏は、不変のファイル改ざんの脆弱性を利用しているため、彼のエクスプロイトを「ItsNotASecurityBoundary」DSE バイパスと名付けました。これは、Windows の新しいクラスの脆弱性であり、Elastic の Gabriel Landau によって、カーネル権限で任意のコードを実行する方法として説明されています。 Landau 氏がこの脆弱性を報告した後、Microsoft は管理者からカーネルへの権限の昇格を防ぐために、すぐに「ItsNotASecurityBoundary」脆弱性にパッチを適用しました。ただし、この脆弱性にパッチを当てても、Leviev 氏が指摘した機能低下攻撃を完全に防ぐことはできません。
カーネルをターゲットにする
Leviev が本日発表した新しい研究では、攻撃者が Windows 更新プロセスを悪用して DSE 保護を回避する方法が示されています。これは、完全にアップデートされた Windows 11 システムでも、パッチ適用済みのコンポーネントをダウングレードすることで実行できます。この攻撃は、DSE の実行を担当する「ci.dll」ファイルを、すべてのドライバーの署名を無視するパッチが適用されていないバージョンに置き換えることによって可能になります。この手法は基本的に Windows の保護チェックを効果的に無効にします。
この置換プロセスは、Windows Update プロセス内でトリガーされます。これはすべて、Windows が ci.dll の最新バージョンのチェックを開始した直後に、ci.dll の脆弱なコピーがメモリに読み込まれる二重読み取り条件を悪用することによって発生します。
このいわゆる「レース ウィンドウ」イベントにより、Windows がファイルを検証済みであると認識しているときに、脆弱な ci.dll がロードされるため、署名されていないドライバーがカーネルにアップロードされる可能性があります。これは、Windows の更新プロセスに抜け穴があることを示すだけでなく、攻撃者が悪意のあるコードを展開する潜在的な道を開くことにもなります。
以下に紹介するビデオで、Leviev 氏は、劣化攻撃を通じて DSE パッチを復元し、Windows 11 23H2 を実行している完全にパッチが適用されたコンピューター上でコンポーネントを悪用する方法をデモンストレーションしました。彼はまた、Microsoft の仮想化ベースのセキュリティ (VBS) を無効化またはバイパスする方法についても躊躇なく説明します。これは、セキュリティで保護されたカーネル コード整合性メカニズム (skci.dll) や認証済みのユーザー資格情報などの重要なリソースとセキュリティ資産を保護する、Windows 用の分離環境を作成する機能です。
記事の目次
