Windowsドライバー署名バイパス
- 攻撃者はWindowsカーネルコンポーネントをダウングレードすることで、ドライバー署名の強制実行のようなセキュリティ機能を回避し、完全にパッチ適用済みのシステムにルートキットをインストールできる可能性がある。
- Windows Updateプロセスを制御することで、最新のシステムに古く脆弱なソフトウェアコンポーネントを持ち込める。
Windowsダウングレード
- SafeBreachのセキュリティ研究者Alon Levievは、アップデート引数の問題を報告したが、Microsoftはこれをセキュリティ境界を越えるものではないと判断して取り合わなかった。
- LevievはBlackHatおよびDEFCONのセキュリティ会議で攻撃が可能であることを実演したが、問題は依然として解決されていない。
- 研究者はWindows Downdateというツールを公開し、カスタムのダウングレードを作成して、すでに修正済みの脆弱性を古いコンポーネント経由で再び露出させられることを示した。
- Levievは、ドライバー署名強制実行(DSE)機能を回避して、署名されていないカーネルドライバーをロードし、セキュリティ制御を無効化するルートキット型マルウェアを展開できることを示した。
カーネルの標的化
- Levievは、Windows Updateプロセスを悪用してDSE保護を回避する方法を説明した。
ci.dllファイルを未パッチのバージョンに置き換えることで、ドライバー署名を無視し、Windowsの保護チェックを回避できる。- この置き換えはWindows Updateによってトリガーされ、脆弱な
ci.dllのコピーがメモリに読み込まれている間に、Windowsが最新のコピーを確認するという二重読み取り条件を悪用する。
- VBS(仮想化ベースのセキュリティ)を無効化または回避する方法も説明した。
GN⁺のまとめ
- この記事では、Windowsシステムのセキュリティ脆弱性を悪用してドライバー署名強制実行を回避し、ルートキットをインストールできる方法を説明している。
- こうした攻撃は、Windows Updateプロセスを悪用してパッチ適用済みコンポーネントをダウングレードすることで可能になる。
- これは、たとえ重要なセキュリティ境界を越えない場合でも、セキュリティツールがダウングレード手順を綿密に監視する必要があることを強調している。
- 類似の機能を持つ他のセキュリティツールとしては、EDR(Endpoint Detection and Response)ソリューションが推奨される。
1件のコメント
Hacker Newsの意見
MSは、UACはセキュリティ境界ではないと主張している。ドライバー署名の強制はセキュリティ機能ではあるが、このケースではセキュリティ境界を越えていないと主張している
Windowsがハッキングに弱い理由について、概念的なモデルが不足していると感じるユーザーの意見
管理者権限を持つユーザーは、コンピューター上で任意の操作を実行できる。この攻撃の深刻さを高める微妙な違いがあるのか気になるというユーザー
デモがあるにもかかわらずMicrosoftが否定しているのは信じがたいという意見。Vimeoアカウントには他にも多くのセキュリティ上の発見がある
管理者権限でのカーネルコード実行により、rootユーザーがrootkitをインストールできる。研究者はWindows Downdateというツールを公開した
WindowsとLinuxでは、一般権限のローカルアカウントが事実上rootと同等である。UACとsudoの違いについての意見。デフォルト設定ではどちらも取り除いた方がよいという意見
カーネルはファイル共有ルールを強制するが、メモリマッピングに対する競合する権限を確認しない。Linuxは強制ロックを削除した
この攻撃は疑わしいほど単純だという意見。更新プロセスをだまして、脆弱なカーネルコンポーネントの旧バージョンをインストールする。MSはすでにこの問題を考慮していたはずだという意見
Microsoftがドライバー署名を要求した当時の苦労を思い出すユーザー。この脆弱性を発見したAlon LevievとSafeBreachを称賛
Windows 11をいじってより良いOSにできるが、rootkitに焦点を当てるべきだという意見