Windows のゼロデイ脆弱性 CVE-2024-38202/21302:Downdate の PoC が登場

PoC Exploit for Windows 0-Day Flaws CVE-2024-38202 and CVE-2024-21302 Released

2024/08/19 SecurityOnline — Windows の2つのゼロデイ脆弱性 CVE-2024-38202/CVE-2024-21302 の技術的詳細PoC エクスプロイト・コードが公開された。これらの脆弱性は、SafeBreach のセキュリティ研究者である Alon Leviev が Black Hat USA 2024 で明らかにしたものであり、Windows Update の完全性を損ない、以前に修正された数千もの脆弱性が再悪用されるという可能性を引き起こす。


この問題に対して研究者たちがリリースしたのは、”Windows Downdate” という新たなツールである。この検証用のツールは、前述の脆弱性を悪用して Windows Update プロセスを乗っ取り、攻撃者によるカスタム・ダウングレードの作成が可能なことを証明するものだ。つまり、”Windows Downdate” は、システム・コンポーネントを古い脆弱なバージョンにロールバックさせ、パッチが適用されていた過去のセキュリティ欠陥を再び引き起こすものとなる。

これらの脆弱性の PoC エクスプロイト・コードが提示するのは、完全に更新された Windows 10/Windows 11/Windows Server システムのパッチを、脆弱性 CVE-2024-38202 と CVE-2024-21302 を悪用して解除する方法である。これらのゼロデイの悪用に成功した攻撃者は、DLL (dynamic link libraries)/NT Kernel/ Credential Guard のセキュア・カーネルや、Hyper-V のハイパーバイザーなどのセキュリティ機能といった、重要な OS コンポーネントのダウングレードを可能にする。このプロセスによりシステムは、権限昇格に関する攻撃を含む、深刻なエクスプロイトを受けやすくなる。

このダウングレード攻撃において、最も警戒すべき点はステルス性にある。なぜなら、システムがダウングレードされても、システムは完全にパッチ適用されていると、Windows Update が示し続けるからだ。また、EDR (Endpoint detection and response) ソリューションでも、これらのダウングレードの検出は不可能なため、この攻撃ベクターは極めて危険である。Leviev の調査によると、標準的なリカバリ・ツールやスキャン・ツールでも、この攻撃方法の検知は不可能なため、再び侵入した脆弱性に対して、管理者は気づかない状況に置かれてしまう。

この重大な発見を受けた Microsoft は、2件のゼロデイ脆弱性に対してアドバイザリを発行し、緩和策を提供している。なお、Microsoft は 2024年8月の Patch Tuesday においてパッチを提供し、この “Windows Downdate” 攻撃を引き起こす脆弱性に対処している。

  • CVE-2024-38202 (CVSS 7.3):Windows Backup における権限昇格の脆弱性。基本的なユーザー権限を持つ攻撃者に対して、以前に緩和されたセキュリティ・バグに対するパッチの解除や、VBS (Virtualization Based Security) 機能のバイパスを許してしまう。
  • CVE-2024-21302 (CVSS 6.7): Windows Secure Kernel Mode の権限昇格の脆弱性。管理者権限を持つ攻撃者に対して、古くて脆弱なバージョンによる、Windows システム・ファイルの置き換えを許してしまう。

現時点において Microsoft は、これらの脆弱性の悪用の試みは確認されていないと述べている。しかし、PoC エクスプロイト・コードが公開されたことで、悪用のリスクは著しく高まっている。すべてのユーザーと管理者に対して、同社が強く求めているのは、完全なセキュリティ更新プログラムが提供されるまでの間において、アドバイザリで推奨されている緩和策に従い、悪用のリスクを軽減することだ。

“Windows Downdate” はオープンソース化され、GitHub で公開されている。この動きは、セキュリティ専門家による脆弱性の理解を促し、その緩和の支援を意図するものである。ただし、このツールに攻撃者が簡単にアクセスし、武器化する可能性によりリスクも高まっている。

一般論として、PoC エクスプロイト・コードの公開は、迅速な対応とパッチの開発を促進する一方で、攻撃者による悪用を早めるという側面も持つ。

Microsoft を利用するユーザー組織に推奨されるのは、同社が提供する緩和策を直ちに実施し、システムを注意深く監視することで、異常な活動の兆候をチェックすることだ。

この Windows のゼロデイ脆弱性 CVE-2024-38202/21302 ですが、第一報は 2024/08/07 の「Windows のゼロデイ脆弱性 CVE-2024-21302/38202:修正済みパッチが無効化される?」となっています。そして、今日の記事で明らかになったのは、「システムがダウングレードされても、システムは完全にパッチ適用されていると、Windows Update は示し続ける」という部分です。とても危険な脆弱性ですね。