2020年05月13日

トレンドマイクロ、大学生のハッカーによってセキュリティのとんでもない欠陥とチート行為が暴露され激怒するの巻

ハッカーフォーラムで槍玉に挙がっていたTrendMicroさんに関する文書が公開されて大騒ぎになってるようです。
この記事を見るといろいろヤバいことが書いてあります。

How to use Trend Micro's Rootkit Remover to Install a Rootkit – Bill Demirkapi's Blog – The adventures of a 18 year old security researcher.
細かい技術情報については「トレンドマイクロのルートキットリムーバーを使用してルートキットをインストールする方法」と題されたこちらに書かれているのですが、上記のサイトに書いてないヤバいことも書いてあって大笑いしました。

上記のサイトは訳を掲載しますので、18歳の研究者のブログの内容を簡単にまとめます。

・トレンドマイクロのセキュリティソフトは悪意のあるプロセスを検出するために、Windows にブルートフォース攻撃を仕掛ける信じられない仕組みになっている。
・あるトレンドマイクロのドライバには欠陥があってユーザーを危険に晒すことになるが、幸い、さらなるバグによって機能していない。
・トレンドマイクロのドライバには自社アプリがカーネルモードにアクセスが簡単にできるようにしたAPI集があって、悪意のあるソフトにとって救世主になっている。
・マイクロソフトのセキュリティを無効にする仕組みがあって、どうしてこんなことをするのか分からないが、可能性があるとすると、トレンドマイクロのドライバにはWQHLと非互換であって、それを迂回するためにユーザーのセキュリティを捨てて、チートすることを選んだのではないか。

色々突っ込みどころが多いですね

とりあえず翻訳を見てみることにしましょう



技術版フォルクスワーゲン事件? Microsoft ドライバ 品質保証をテストスイートの検出によって不正告発されたトレンドマイクロ
トレンドマイクロは主張を否定し、研究者にちゃんと調べるように言った。
トレンドマイクロは、Microsoftの品質保証テストをだますためにソフトウェアを設計し、主張は「誤解を招く」と言った後、防御的立場にあります。

米国のロチェスター工科大学に在籍する18歳のコンピューターセキュリティ学生であるビルデミルカピ氏は火曜日、The Registerに語り、トレンドのWindows PC向けルートキットバスターに出会い、ルートキットを検出する方法を研究していると語った。

初心者向けのルートキットはマルウェアで、管理者レベルの権限を持つマシンで実行されると、他の悪意のあるコードや悪意のあるユーザーがコンピューターへの管理アクセスを許可します。それは故意に自分自身を見えないように隠します、それがルートキット検出器が物である理由です。

Trend製品に共通しているように見えるTrendのルートキット狩猟ツールとそのカーネルモードドライバーをリバースエンジニアリングする一方で、ビルデミルカピ氏はコードにいくつかの欠点を発見し、それらを公開して文書化しました。彼が見つけた穴を悪用するには、管理者アクセスが必要ですが、それは要点の外です。これらは、皮肉なことに、ルートキットや管理者アクセスを取得した他のマルウェアが簡単にカーネルへアクセスする方法になります

「トレンドマイクロのドライバーに関するセキュリティ上の懸念のほとんどは衝撃ではありませんでした。それらのほとんどは間違いではありませんでした」とハッカーの超会議であるDEF CONで発表し、Black Hat USA 2020でWindowsルートキットについて話し合う予定のビルデミルカピ氏は言いました。

Trend Microは、ユーザーモードで特権のある呼び出し元に大量の機能を提供するようにドライバーを単純に設計しました。これにより、攻撃者はいくつかの方法でドライバーを悪用できます。問題は、Trend Microのドライバーが設計上安全ではなく、世界中の悪意のあるソフトを完璧に悪用できるようにしたててくれる点です。」

重要なMysteriousCheck()は、カーネルレベルのドライバーコードで指定された関数がビルデミルカピ氏の目を引いたことです。さらに掘り下げて、彼は驚くべき発見をしたと言いました。MysteriousCheck()特定のMicrosoftテストスイート(ドライバーベリファイア)がコンピューターで実行されているかどうかを検出するように見えます。

このテストスイートは、ドライバーがMicrosoftのWindows Hardware Quality Labs(WHQL)要件を確実に満たすように設計されています。ドライバーがこの標準を満たす場合、ドライバーはMicrosoftによってデジタル署名され、Windowsによって信頼され、Windows Updateおよび同様のメカニズムを介して配布される可能性があります。



ビルデミルカピ氏は、トレンドのカーネルドライバーがMicrosoftのWHQLドライバー検証テストをだましていると確信しています。ドライバーがテストを実行しているコンピューターにインストールされていることを検出すると、テストに合格するように動作を変更します。

では、ドライバーは何を隠蔽しているのでしょうか?Microsoftのテストに合格するには、ソフトウェアはセキュリティ対策として、オペレーティングシステムの非実行非ページプール(別名NonPagedPoolNx)からメモリを割り当てる必要があります。これは、システムのCPUコアで実行不可としてマークされているメモリです。つまり、悪意のあるユーザーやマルウェアがこのメモリに悪意のあるコードを隠したとしても、セキュリティホールを利用して、これらの命令にジャンプして実行することはできません。

Microsoftのテストでは、ドライバーがこの非実行可能メモリを使用することを確認しています。テスト中のコンピューター上でトレンドのドライバーが実行されていると主張されている場合、ソフトウェアはその操作を変更して、予想どおり非実行非ページプールを使用します。テストが実行されていない場合、実行可能な非ページプールからメモリが割り当てられます。これは悪用される可能性があり、Microsoftのテストに失敗します。動的に割り当てられた実行可能メモリを使用する理由の1つは、圧縮解除、復号化、またはその他の方法で即座に生成またはロードされるコードを実行することです。これはカーネルレベルのソフトウェアにとって危険です。

「Microsoftのドライバー検証をパスすることは、WHQL認定を取得するための長い間必要なことでした」とビルデミルカピ氏は彼のウェブサイトで述べました。

「Windows 10では、ドライバー検証ツールは、ドライバーが実行可能メモリを割り当てないように強制します。Windowsユーザーを保護するために設計されたこの要件に準拠する代わりに、トレンドマイクロはユーザーのセキュリティを無視することを決定し、ドライバーがテストまたはデバッグ環境をだますように設計しました。そのような違反をキャッチします。

「正直なところ、私は困惑しています。TrendMicroがこれらのテストで不正行為をする理由がわからないのです...唯一の実用的な理論は、何らかの理由で、ほとんどのドライバーがNonPagedPoolNxと互換性がないということです。 そしてそれらのエントリポイントのみが互換性があること、そうでなければ実際には意味がありません。」

デミルカピ氏は続けました

私は多くのドライバーをリバースエンジニアリングします、そして通常かなり間抜けなものを見るのです。しかし今回私は衝撃を受けました...ほとんどのドライバーはアヒルのテープによって一緒に保持されている概念実証のゴミのように感じます。

トレンドマイクロは、ドライバーと対話できるユーザーを制限するなどの基本的な予防策を講じていますが、IOCTLハンドラー内のかなりの量のコードには、非常に危険なカーネルオブジェクトの直接操作が含まれています

それに応じて、トレンドマイクロはデミルカピ氏の調査結果が非公開ではなく公開されたことを非難し、調査を軽視しようとしました。また、マイクロソフトのテストを回避していることも否定しました。

「この主張は誤解を招くものだと私たちは信じている」とトレンドマイクロの広報はThe Registerに語った。

「研究者は私たちに知らせませんでしたが、業界の標準的で効果的な報告は最初に私たちに連絡することを要求しました。このアプローチを考えると、研究者は解決よりも注意飛行としていると考えているかもしれません。この申し立ては誤解を招くものであると考えています。マイクロソフトのセキュリティドライバーチームと緊密に連携して作業しており、トレンドマイクロチームが認定要件を回避することは決してありませんでした。」

ドライバーが大学生が説明したように振る舞った理由について説明を求められたとき、トレンドマイクロはこれ以上何も回答しませんでした。一方、デミルカピ氏はMysteriousCheck()、ドライバーのセキュリティテストを回避する以外に、コードを含める理由はないと考えることができると語った。

Microsoftはこの問題を認識しており、「トレンドマイクロと緊密に協力してこれらの主張を調査している」と語った。

良い記憶力を持つ人々は、トレンドのウイルス対策ツールはファイルのスキャン中に、マルウェアのファイル名が cmd.exe や regedit.exe だった場合、自動的起動してしまう 欠陥があった10月の出来事を覚えているでしょう。
トレンドマイクロが無償提供しているセキュリティ確認ツールにとんでもない脆弱性があったことが判明
10月のネタというのはこれですね。

トレンドマイクロは、情報公開されたことに腹を立てて研究者を非難しているようですが、マイクロソフトはこの問題を認識しているとか、茶番もいいところです( ˘ω˘ )

やっぱりトレンドマイクロのセキュリティソフトはマルウェアだったんですね。

でも、【自社ソフトを動作させるために、端末のセキュリティを犠牲にする】って何かを思い出しませんか?

アンドロイドのセキュリティ機能を無効にしてアプリを入れさせる手口と同じですね。



blackwingcat at 08:30│Comments(1) | このエントリーをはてなブックマークに追加 mixiチェック |
このエントリーをはてなブックマークに追加
韓国・中国製ソフト | Security

Twitter Feedback

この記事へのコメント

3. Posted by のん   2020年05月24日 11:02
後者のブログ、内容が素晴らしい!

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
livedoor プロフィール

黒翼猫

【募集】Windows 2000で動かしたいソフト/ハードを貸してくださる方、コメントかTwitterでご連絡を。
【BM】はブクマ推奨記事です

My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    最近のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation(寄付)