【訳】
新しいWindowsドライバ署名のバイパスにより、カーネルルートキットのインストールが可能に
【図表】
Windowsが最新バージョンを確認している間に古いDLLをロードする (SafeBreach)
起動時のVBS構成の無視 (SafeBreach)
出典: https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs/
【要約】
Windowsの新たな脆弱性により、攻撃者がカーネルコンポーネントを古い脆弱なバージョンにダウングレードし、ルートキットをインストールできることが判明しました。この手法では、Windows Updateプロセスを悪用して古いコンポーネントを導入し、最新のパッチ適用状態を偽装します。特に「ci.dll」のバージョンを戻すことでドライバ署名の強制を無効化し、攻撃が可能となります。Microsoftは修正を進めているが、管理者権限が必要であるため、重大なリスクとして検知と監視が推奨されています。
【ニュース】
◆New Windows Driver Signature bypass allows kernel rootkit installs (BleepingComputer, 2024/10/26 08:28)
[新しいWindowsドライバ署名のバイパスにより、カーネルルートキットのインストールが可能に]
https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs/