パスワードを忘れた? アカウント作成
12577098 story
Windows

Windowsのセキュリティ機能「EMET」、64ビット版Windowsでの32ビットプロセスに対しては不十分? 25

ストーリー by hylom
なるほど 部門より
headless 曰く、

MicrosoftのEMET(Enhanced Mitigation Experience Toolkit)はソフトウェアの脆弱性悪用を防ぐセキュリティ緩和策をまとめたツールキットだが、WoW64で実行されている32ビットプロセスに対しては効果が不十分という調査結果をDuo SecurityのDuo Labsチームが発表した(Duo Security報告書PDFSoftpediaSecurityWeekRegister)。

WoW64(Windows on Windows 64)は64ビット版のWindowsでWin32アプリを実行するためのサブシステム。Duoのデータによると、Webブラウザーの80%がWoW64上で実行されているという。WoW64環境では実行時にプロテクトモードとロングモードを切り替えることが可能となっているが、これにより純粋な32ビット環境にはない攻撃手段が利用可能となる。EMETは32ビットプロセスおよび64ビットプロセスに対する緩和策を提供するが、WoW64環境に特化した緩和策は提供されていないとのこと。

EMETをバイパスする方法はこれまでにも発見されているが、緩和策を個別にバイパスしていく必要があった。Duoが発見した方法では、単一のインストラクションを実行するだけでペイロード/シェルコード実行やROP(Return Oriented Programming)関連の緩和策をまとめてバイパスできるという。

DuoではWoW64上で十分な効果を発揮させるためにEMETの大幅な変更が必要であると述べ、セキュリティ研究者はWoW64を1つのアーキテクチャーとして扱う必要があると主張している。一方、EMETはセキュリティ対策で重要な役割を担っているとし、万能ではないものの比較的攻撃に強い64ビットネイティブソフトウェアの使用を推奨している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 不十分もなにも (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2015年11月10日 14時57分 (#2914983)

    完璧でなければならないなんて前提がそもそも無茶すぎだろ
    そーゆーのは「なんでも叩けるアンチに都合のいい詐欺手法」でしかないから

    Appleの「審査してるからとにかく安全!!」みたいなのは
    利用者の警戒心を失わせて被害を拡大させるという面で問題だが、
    システム的な安全機構そのものは「やらないよりはやるだけまし」でいいんだよ

    • by Anonymous Coward on 2015年11月10日 23時38分 (#2915205)

      レビュアーの指摘を人格攻撃みたいに捉えて逆上する直情コーダーですか?

      親コメント
    • by Anonymous Coward

      穴が見つかったのなら塞がなければならないというだけの話だろ。
      誰が完璧でなければならないなんて言ってるよ。
      あーそれとも、Windowsは穴が見つかっても批判しちゃいけないという話ですかね?
      MSってやらないよりやるだけましって態度でセキュリティやってたんですね。ひどいっすねー
      #そんなわけないだろ。MSのセキュリティはかなりのもんだぞ。
      #アンチアップルのMS信者のフリしてMSディスってんじゃねえぞ

  • by Anonymous Coward on 2015年11月10日 20時28分 (#2915123)

    鉄壁ではない。
    Microsoft自身がそういってる。

    https://support.microsoft.com/ja-jp/kb/2458544 [microsoft.com]
    >このようなセキュリティ緩和策テクノロジでは、脆弱性を悪用できないことは保証されません。
    >しかし、悪用の実行を可能な限り困難にするように機能します。

  • by nemui4 (20313) on 2015年11月10日 12時57分 (#2914911) 日記

    おしりにH付けると奴隷のように働いて、頭のE削ると滅びてしまう方を連想した。

    #最初からオフトピ

    >WoW64環境では実行時にプロテクトモードとロングモードを切り替えることが可能となっているが、これにより純粋な32ビット環境にはない攻撃手段が利用可能となる。

    複雑化していくと穴もボコボコ出てしまうのは世の常とは言え。
    セキュリティ関係は暗い話しか最近見ないね。

  • by Anonymous Coward on 2015年11月10日 13時26分 (#2914935)

    そもそも32bitのASLRは弱くてブルートフォースで破れる [wikipedia.org]ので、セキュリティーを気にするなら32bitプロセスを使うべきではありません。

    • by Anonymous Coward on 2015年11月10日 20時03分 (#2915114)

      それはそうなんですけれど、
      (もはや言うまでもない前提の話)
      この話題は「今まで思われていた以上に脆弱なパターンがあるんだよ」
      っていう話なんじゃないですか?

      これにより純粋な32ビット環境にはない攻撃手段が利用可能となる。

      この部分。

      親コメント
    • by Anonymous Coward

      それ以前に、ASLRはブラウザのJavaScriptコンパイラの様な実行時にバイナリを生成して呼び出すようなプログラムとは相性が良くない。
      バッファオバーフローを利用してコンパイラが生成したヒーブ上のバイナリを書き換えてJavaScriptから呼びだすとか、

  • by Anonymous Coward on 2015年11月10日 13時29分 (#2914939)

    32-bit向けにビルドされながら実行中に64-bitモードに移行するプログラムがそんなにあるとは思えないので、
    単にユーザコードからのロングモードへの移行を禁止する設定を導入してしまうのがよい気がします。

    例えばEMETのオプションとして導入すれば、必要なプログラムだけホワイトリストで許可することもできますので、
    実用上問題ないのでは。

    • by Anonymous Coward

      > そんなにあるとは思えない

      全ての32bitアプリが該当しますが。

      • by Anonymous Coward

        どゆこと?

        • 64bit Windows では、Win32 アプリケーションからのシステムコールは、32->64bit モード切替によって実行されるからでは?
          というか、WoW64 はそういうことのためのもののはずかと…
          (32bit の世界に OS はいませんから)
          --
          Leshade Entis
          親コメント
          • by Anonymous Coward on 2015年11月10日 16時16分 (#2915026)

            WOW64はユーザモードのまま64bitモードに切り替えた後、
            APIのパラメータを変換して64bitシステムコールを呼び出す構造になってます。

            なので

            > 単にユーザコードからのロングモードへの移行を禁止する設定を導入

            なんてことをしたら32bitアプリは全滅するわけです。

            親コメント
            • by Anonymous Coward

              MSには、せっかくなのでWindows 10はOS Xのように64bit版だけの提供、という形にしてほしかったですね……。7で64bitへの移行がだいぶ進んだので、個人的には8あたりから完全64bit化をしてもよかったような気がします。32bitはRTだけにするとか。

              • 64bit版Windowsで発生しているこの問題に対して何の解決にもならんのになぜ今ここでそんな話?

                あと、どうでもいいけどOS Xでも32bitアプリは動くよ。
                そこに起因する脆弱性がないなんて保証はどこにもない……。

                # そのOS Xからの書き込みだけどさ。

                親コメント
              • MS Office 2010/2013 64bit で互換性を派手にぶっ壊して、マイクロソフトでさえ Office は 32bit 版を使ってください [microsoft.com]と言っているわけで、WoW64 を外したら MS Office の動かない Windows になります。UI の互換性をとことん破壊しまくったマイクロソフトでさえそんな蛮勇はないでしょう。

                #業務アプリでも、そもそもライブラリ互換性が保たれているわけではないので、VB6 どころでなく .NET アプリでも動かないのがころごろ出ますぜ。

                Mac OS X で 32bit アプリが動くのは他のACさんも書いている通り。

                親コメント
              • by Anonymous Coward

                > 個人的には8あたりから完全64bit化をしてもよかったような気がします。

                8に失敗作の烙印が押されることろまで見えた

              • by Anonymous Coward

                そもそも、32bitのOSが必要なCPUがまだIntelから出てる。
                Atom系にそういうのがあるよ。

            • by Anonymous Coward

              でも 禁止=例外発生=OSで捕捉ではないの?
              そうなら OS でシステム(wow64)のコードか検証して切り替えればいいだけな気がするけど。

              • by Anonymous Coward

                例外の実行コストがどんだけ高いか分かった上で言ってんのお前?

  • by Anonymous Coward on 2015年11月10日 15時41分 (#2915009)

    すぐに投げ捨てるべき

    と垂れ込むべきではないのか

    どうしても32びっとブラウザが使いたければ、32びっとWindowsにしないさいと

    • by Anonymous Coward

      32bitブラウザが危険なのではありません32bitのアプリケーションが危険なのです。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...