HTTPとSMBを勘違いしていませんか?ゾーン管理はその通りですが、SMBでファイルを開くのにTemporary Internet Files経由って事はないと思うのですが。 大きなファイルとかを開くと、LANの論理上限速度で転送した場合よりも早く開けますし。部分的にファイルを直接メモリに読んでるとしか思えない挙動なのですが。 とは言え、実際にWindowsがどういう仕様なのかは知らないので、MSが公開している資料でTemporary Internet Files経由で開くと言うのが確認できるものってありますか?
キャッシュは生成されるだろうけど、アンチウィルスでのアクセス直後に更新時刻変えた判定を返してキャッシュ破棄させればスキャンと実行で違う内容を返せる、と言われたら納得行く。 DNS Pinningみたいにアンチウィルスでのスキャンと実行ファイルのロードをアトミックにしない限り回避はできない。 …でも、インストーラの如き巨大な実行ファイルをピンニングするとかちょい無理があるだろうし、 ファイルレベル自己書き換えも絶無ってわけじゃないから書き換えを完全にロックするわけにもいかないというかロック自体が鯖の仕事…
うーん? (スコア:0, 荒らし)
クライアント側で保存される時点で
クライアント側のアンチウイルスプログラムが
ちゃんと検出するんでねーの?
接続先の信頼とか以前にさ
今どきWindowsでノーガードとか
ハニーポットくらいなもんでしょ
Exploitですり抜けるのはこの問題とは意味が違うし
MSの言う通り
Windows側の修正が必要なセキュリティの問題じゃない
むしろ同一視させることでの穴でも見つけていて
同一視しろって要求してるんじゃないかと邪推したくなる
Re:うーん? (スコア:2)
クライアント側に保存せずにSMB共有フォルダ上の実行ファイルをロードする場合に、
クライアント側のアンチウイルスソフトにはダミーを提供して、
OSのイメージローダーには感染したバイナリを提供するという手法でしょう。
Re: (スコア:0)
は?
まさかネットワーク上の実行ファイルが
直接メモリー上にロードされて実行されるとでも?
一旦キャッシュされてから実行されるのだから
クライアントのテンポラリ領域に保存されます
そこはアンチウイルスのチェック下ですよ
/*
「OSのイメージローダー」をブートローダーと読み替えて
ネットワークブート時にアンチウイルスが効かないっていっているのなら
確かにその通りだが別問題だろう
*/
Re:うーん? (スコア:2)
SMB/CIFSの共有フォルダから、EXEやDLLをロードする時に、
ローカルストレージに一旦キャッシュなんてしてないのでは?
win32apiのcreateProcessやloadLibrary実行中に
ファイル全体がストレージに一旦全部保存されるなんて話は聞いたことがないのですが。
どのパスに保存されるんですか?
processMonitorなどで補足できます?
Re:うーん? (スコア:1)
少なくとも、いにしえのWindowsでは、下記のPE Optionが付いていないと、ローカルにEXEを全部ダウンロードしたりしないみたいなんだよね。
(ま、あったところで、キャッシュはスワップの中だからウイルスチェッカがスワップ調べるの?って気はする。)
Re: (スコア:0)
>まさかネットワーク上の実行ファイルが
>直接メモリー上にロードされて実行されるとでも?
SMB共有ではされるから危ない、とセキュリティ企業が指摘してるんだから、そうなんだろ?
それとも、「自称セキュリティ企業がまた寝ぼけた的外れなこと言ってやがる」と言いたいの?
Re: (スコア:0, 荒らし)
Windowsでのネットワークは
ゾーン管理されています
マイコンピューターゾーン以外のすべてのゾーンは
ローカルイントラネットゾーンや信頼済みサイトも含め
Temporary Internet Filesを経由しての表示・実行となります
そしてそこに出たが書き込まれる際には
アンチウイルスソフトが書き込み時のリアルタイム監視をしています
つまりなんであれネットワークからのファイルは
監視対象となる仕組みです
サーバー側で見分けがつくというのは
参照時や定期スキャンなど能動的なスキャン時のことです
実際に実行する際に差し替えられていたとしても
Temporary Internet Filesを経由し
Re: (スコア:0)
HTTPとSMBを勘違いしていませんか?ゾーン管理はその通りですが、SMBでファイルを開くのにTemporary Internet Files経由って事はないと思うのですが。
大きなファイルとかを開くと、LANの論理上限速度で転送した場合よりも早く開けますし。部分的にファイルを直接メモリに読んでるとしか思えない挙動なのですが。
とは言え、実際にWindowsがどういう仕様なのかは知らないので、MSが公開している資料でTemporary Internet Files経由で開くと言うのが確認できるものってありますか?
Re: (スコア:0)
あと、SMB側で排他制御も掛かるね。
そもそもローカルにコピーを生成してるんならローカルへの書き込み監視で例外指定しない限りの時点で引っかかる筈だし。
キャッシュは生成されるだろうけど、アンチウィルスでのアクセス直後に更新時刻変えた判定を返してキャッシュ破棄させればスキャンと実行で違う内容を返せる、と言われたら納得行く。
DNS Pinningみたいにアンチウィルスでのスキャンと実行ファイルのロードをアトミックにしない限り回避はできない。
…でも、インストーラの如き巨大な実行ファイルをピンニングするとかちょい無理があるだろうし、
ファイルレベル自己書き換えも絶無ってわけじゃないから書き換えを完全にロックするわけにもいかないというかロック自体が鯖の仕事…
改竄機能付きのSMBサーバがイントラネット内に出現してその中のアプリを実行した時点で負けってことにする(MSの回答)か、
ローダーによるアクセスにアンチウィルスがフックを掛けれるようにしてもらうか。後者は安定性への影響が怖いなあ……
Re: (スコア:0)
それだと、いつからか仕様が変わったことになりますが、ほんとですか?
SMBは、ある意味、インターネットより歴史が古いですし。
Re: (スコア:0)
その影響で共有フォルダの hlp ファイルも開けなくなったし、署名なしの exe の実行も出来なくなった。
Re: (スコア:0)
真相は知らんが、Excelマクロの類はネットワーク上のファイルそのものが使われているだろうし、
いずれにしろ同根の問題はあるんでないかな。
つかネットワーク上で一度ウイルスチェックが通ったものにローカルのキャッシュで再度チェックがかかるという状況が考え辛いが。
そんな(通常は)無駄なことするかね。
Re: (スコア:0)
kcgの人がそのまま分かりやすく説明してるのになんでそんな微妙におかしいたとえ話にすり替えるんだ。2行目に至っちゃなにがなんだか。
Re: (スコア:0)
例え話にしないと理解できない奴は馬鹿
Re: (スコア:0)
よく知らんけど、インターネット上でSMBサーバ上げておいて、メールとかWebページとかにfile://....とかいうリンクを貼ってアクセスさせると、やられることがある、ということなのかな?
LAN上じゃないサイトのポート445にアクセス可能なのどうなのとか、fileメソッドでWindowsの共有資源アクセスしちゃうのどうなのとか、あるはずなんだけど…
Re: (スコア:0)
もっと単純に、SMBサーバがやられると危ないとか、DNSスプーフィングでLAN内の偽のSMBサーバへ誘導されると危ないとか、何か別の攻撃と組み合わされたときに被害が大きくなるよ、という指摘なんじゃないかな。
あと、それができるなら、「SMB共有上のファイル書き換えまくり攻撃」みたいなのは成立ないかな。LAN内の間抜けな人のアカウントを乗っ取って、SMB共有上にある実行ファイルを、本物・偽物、と素早く書き換え続けるとか。すると、運悪く本物をウィルスチェックして安全と認識した後、偽物を実行する端末が他にも…。まあバレて無理かな。
Re: (スコア:0)
file://ってクロスドメイン制約でアクセスできなくね?