2020年05月13日
トレンドマイクロ、大学生のハッカーによってセキュリティのとんでもない欠陥とチート行為が暴露され激怒するの巻
ハッカーフォーラムで槍玉に挙がっていたTrendMicroさんに関する文書が公開されて大騒ぎになってるようです。
この記事を見るといろいろヤバいことが書いてあります。
How to use Trend Micro's Rootkit Remover to Install a Rootkit – Bill Demirkapi's Blog – The adventures of a 18 year old security researcher.
細かい技術情報については「トレンドマイクロのルートキットリムーバーを使用してルートキットをインストールする方法」と題されたこちらに書かれているのですが、上記のサイトに書いてないヤバいことも書いてあって大笑いしました。
上記のサイトは訳を掲載しますので、18歳の研究者のブログの内容を簡単にまとめます。
・トレンドマイクロのセキュリティソフトは悪意のあるプロセスを検出するために、Windows にブルートフォース攻撃を仕掛ける信じられない仕組みになっている。
・あるトレンドマイクロのドライバには欠陥があってユーザーを危険に晒すことになるが、幸い、さらなるバグによって機能していない。
・トレンドマイクロのドライバには自社アプリがカーネルモードにアクセスが簡単にできるようにしたAPI集があって、悪意のあるソフトにとって救世主になっている。
・マイクロソフトのセキュリティを無効にする仕組みがあって、どうしてこんなことをするのか分からないが、可能性があるとすると、トレンドマイクロのドライバにはWQHLと非互換であって、それを迂回するためにユーザーのセキュリティを捨てて、チートすることを選んだのではないか。
色々突っ込みどころが多いですね
とりあえず翻訳を見てみることにしましょう
技術版フォルクスワーゲン事件? Microsoft ドライバ 品質保証をテストスイートの検出によって不正告発されたトレンドマイクロ
トレンドマイクロは主張を否定し、研究者にちゃんと調べるように言った。
| トレンドマイクロは、Microsoftの品質保証テストをだますためにソフトウェアを設計し、主張は「誤解を招く」と言った後、防御的立場にあります。 米国のロチェスター工科大学に在籍する18歳のコンピューターセキュリティ学生であるビルデミルカピ氏は火曜日、The Registerに語り、トレンドのWindows PC向けルートキットバスターに出会い、ルートキットを検出する方法を研究していると語った。 初心者向けのルートキットはマルウェアで、管理者レベルの権限を持つマシンで実行されると、他の悪意のあるコードや悪意のあるユーザーがコンピューターへの管理アクセスを許可します。それは故意に自分自身を見えないように隠します、それがルートキット検出器が物である理由です。 Trend製品に共通しているように見えるTrendのルートキット狩猟ツールとそのカーネルモードドライバーをリバースエンジニアリングする一方で、ビルデミルカピ氏はコードにいくつかの欠点を発見し、それらを公開して文書化しました。彼が見つけた穴を悪用するには、管理者アクセスが必要ですが、それは要点の外です。これらは、皮肉なことに、ルートキットや管理者アクセスを取得した他のマルウェアが簡単にカーネルへアクセスする方法になります。 「トレンドマイクロのドライバーに関するセキュリティ上の懸念のほとんどは衝撃ではありませんでした。それらのほとんどは間違いではありませんでした」とハッカーの超会議であるDEF CONで発表し、Black Hat USA 2020でWindowsルートキットについて話し合う予定のビルデミルカピ氏は言いました。 「Trend Microは、ユーザーモードで特権のある呼び出し元に大量の機能を提供するようにドライバーを単純に設計しました。これにより、攻撃者はいくつかの方法でドライバーを悪用できます。問題は、Trend Microのドライバーが設計上安全ではなく、世界中の悪意のあるソフトを完璧に悪用できるようにしたててくれる点です。」 重要なMysteriousCheck()は、カーネルレベルのドライバーコードで指定された関数がビルデミルカピ氏の目を引いたことです。さらに掘り下げて、彼は驚くべき発見をしたと言いました。MysteriousCheck()特定のMicrosoftテストスイート(ドライバーベリファイア)がコンピューターで実行されているかどうかを検出するように見えます。 このテストスイートは、ドライバーがMicrosoftのWindows Hardware Quality Labs(WHQL)要件を確実に満たすように設計されています。ドライバーがこの標準を満たす場合、ドライバーはMicrosoftによってデジタル署名され、Windowsによって信頼され、Windows Updateおよび同様のメカニズムを介して配布される可能性があります。 |
| ビルデミルカピ氏は、トレンドのカーネルドライバーがMicrosoftのWHQLドライバー検証テストをだましていると確信しています。ドライバーがテストを実行しているコンピューターにインストールされていることを検出すると、テストに合格するように動作を変更します。 では、ドライバーは何を隠蔽しているのでしょうか?Microsoftのテストに合格するには、ソフトウェアはセキュリティ対策として、オペレーティングシステムの非実行非ページプール(別名NonPagedPoolNx)からメモリを割り当てる必要があります。これは、システムのCPUコアで実行不可としてマークされているメモリです。つまり、悪意のあるユーザーやマルウェアがこのメモリに悪意のあるコードを隠したとしても、セキュリティホールを利用して、これらの命令にジャンプして実行することはできません。 Microsoftのテストでは、ドライバーがこの非実行可能メモリを使用することを確認しています。テスト中のコンピューター上でトレンドのドライバーが実行されていると主張されている場合、ソフトウェアはその操作を変更して、予想どおり非実行非ページプールを使用します。テストが実行されていない場合、実行可能な非ページプールからメモリが割り当てられます。これは悪用される可能性があり、Microsoftのテストに失敗します。動的に割り当てられた実行可能メモリを使用する理由の1つは、圧縮解除、復号化、またはその他の方法で即座に生成またはロードされるコードを実行することです。これはカーネルレベルのソフトウェアにとって危険です。 「Microsoftのドライバー検証をパスすることは、WHQL認定を取得するための長い間必要なことでした」とビルデミルカピ氏は彼のウェブサイトで述べました。 「Windows 10では、ドライバー検証ツールは、ドライバーが実行可能メモリを割り当てないように強制します。Windowsユーザーを保護するために設計されたこの要件に準拠する代わりに、トレンドマイクロはユーザーのセキュリティを無視することを決定し、ドライバーがテストまたはデバッグ環境をだますように設計しました。そのような違反をキャッチします。 「正直なところ、私は困惑しています。TrendMicroがこれらのテストで不正行為をする理由がわからないのです...唯一の実用的な理論は、何らかの理由で、ほとんどのドライバーがNonPagedPoolNxと互換性がないということです。 そしてそれらのエントリポイントのみが互換性があること、そうでなければ実際には意味がありません。」 デミルカピ氏は続けました 私は多くのドライバーをリバースエンジニアリングします、そして通常かなり間抜けなものを見るのです。しかし今回私は衝撃を受けました...ほとんどのドライバーはアヒルのテープによって一緒に保持されている概念実証のゴミのように感じます。 トレンドマイクロは、ドライバーと対話できるユーザーを制限するなどの基本的な予防策を講じていますが、IOCTLハンドラー内のかなりの量のコードには、非常に危険なカーネルオブジェクトの直接操作が含まれています。 それに応じて、トレンドマイクロはデミルカピ氏の調査結果が非公開ではなく公開されたことを非難し、調査を軽視しようとしました。また、マイクロソフトのテストを回避していることも否定しました。 「この主張は誤解を招くものだと私たちは信じている」とトレンドマイクロの広報はThe Registerに語った。 「研究者は私たちに知らせませんでしたが、業界の標準的で効果的な報告は最初に私たちに連絡することを要求しました。このアプローチを考えると、研究者は解決よりも注意飛行としていると考えているかもしれません。この申し立ては誤解を招くものであると考えています。マイクロソフトのセキュリティドライバーチームと緊密に連携して作業しており、トレンドマイクロチームが認定要件を回避することは決してありませんでした。」 ドライバーが大学生が説明したように振る舞った理由について説明を求められたとき、トレンドマイクロはこれ以上何も回答しませんでした。一方、デミルカピ氏はMysteriousCheck()、ドライバーのセキュリティテストを回避する以外に、コードを含める理由はないと考えることができると語った。 Microsoftはこの問題を認識しており、「トレンドマイクロと緊密に協力してこれらの主張を調査している」と語った。 良い記憶力を持つ人々は、トレンドのウイルス対策ツールはファイルのスキャン中に、マルウェアのファイル名が cmd.exe や regedit.exe だった場合、自動的起動してしまう 欠陥があった10月の出来事を覚えているでしょう。 |
トレンドマイクロが無償提供しているセキュリティ確認ツールにとんでもない脆弱性があったことが判明
10月のネタというのはこれですね。
トレンドマイクロは、情報公開されたことに腹を立てて研究者を非難しているようですが、マイクロソフトはこの問題を認識しているとか、茶番もいいところです( ˘ω˘ )
やっぱりトレンドマイクロのセキュリティソフトはマルウェアだったんですね。
でも、【自社ソフトを動作させるために、端末のセキュリティを犠牲にする】って何かを思い出しませんか?
アンドロイドのセキュリティ機能を無効にしてアプリを入れさせる手口と同じですね。
Twitter Feedback
この記事へのコメント
3. Posted by のん 2020年05月24日 11:02
後者のブログ、内容が素晴らしい!
4. Posted by あ 2023年07月21日 13:30
このサイトをウィルスバスターが入ったMacで閲覧したら10秒後に記事が見られなくなるんだけどヤバ過ぎんか
5. Posted by 黒翼猫 2023年07月24日 11:48
>>4
多分、ウイルスバスターが新サイトへのリダイレクトをブロックしてるのだと思われ。
win2k.org を信頼済みサイトにしてもらえば大丈夫だと思います・ω・
多分、ウイルスバスターが新サイトへのリダイレクトをブロックしてるのだと思われ。
win2k.org を信頼済みサイトにしてもらえば大丈夫だと思います・ω・
6. Posted by 黒翼猫 2023年07月24日 11:48
>>4
多分、ウイルスバスターが新サイトへのリダイレクトをブロックしてるのだと思われ。
win2k.org を信頼済みサイトにしてもらえば大丈夫だと思います・ω・
多分、ウイルスバスターが新サイトへのリダイレクトをブロックしてるのだと思われ。
win2k.org を信頼済みサイトにしてもらえば大丈夫だと思います・ω・
Translate