TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

New Windows Driver Signature bypass allows kernel rootkit installs

【訳】

新しいWindowsドライバ署名のバイパスにより、カーネルルートキットのインストールが可能に


【図表】


Windowsが最新バージョンを確認している間に古いDLLをロードする (SafeBreach)

起動時のVBS構成の無視 (SafeBreach)
出典: https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs/


【要約】

Windowsの新たな脆弱性により、攻撃者がカーネルコンポーネントを古い脆弱なバージョンにダウングレードし、ルートキットをインストールできることが判明しました。この手法では、Windows Updateプロセスを悪用して古いコンポーネントを導入し、最新のパッチ適用状態を偽装します。特に「ci.dll」のバージョンを戻すことでドライバ署名の強制を無効化し、攻撃が可能となります。Microsoftは修正を進めているが、管理者権限が必要であるため、重大なリスクとして検知と監視が推奨されています。


【ニュース】

◆New Windows Driver Signature bypass allows kernel rootkit installs (BleepingComputer, 2024/10/26 08:28)
[新しいWindowsドライバ署名のバイパスにより、カーネルルートキットのインストールが可能に]
https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs/