パスワードを忘れた? アカウント作成
13207043 story
Windows

ウイルス対策ソフトウェアをマルウェアに変える攻撃「DoubleAgent」 31

ストーリー by headless
二重スパイ 部門より
ゼロデイ攻撃対策を提供するCybellumは22日、Windows XP以降で利用可能なコード検証ツール「Application Verifier」の仕組みを悪用してウイルス対策ソフトウェアをマルウェアに変える攻撃「DoubleAgent」の詳細を公表した(Cybellumのブログ記事[1][2]BetaNewsの記事The Registerの記事)。

Application Verifierでは、レジストリを設定することで正規のコード検証ツール以外のDLLをプロセス起動時にインジェクト可能な非公開機能が存在することが、遅くとも2011年から知られている。DoubleAgentはこの非公開機能を悪用するもので、ウイルス対策ソフトウェアに検出されずにコードをインジェクトし、常駐させることが可能となる。

Windows 8.1以降ではウイルス対策ソフトウェアのプロセスを保護する「Protected Processes」などと呼ばれる機能が提供されており、Windows Defenderはこの機能を使用しているが、サードパーティのウイルス対策ソフトウェアではほとんど使われていないという。

攻撃を成功させるにはローカルでのアクセスと管理者権限が必要となるため、影響範囲は狭いとみられるが、Cybellumでは以下のベンダーの製品でPoCを実行し、脆弱性が存在することを確認したとのこと。

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

Cybellumは昨年11月に各ベンダーへ脆弱性を通知しており、最新版では既に修正されている製品もあるようだ。ESETTrend Microは最新版で修正済みとしてセキュリティアドバイザリーを公開しており、AvastKasperskyは最新版で修正済みであることをユーザーフォーラムで報告している。BleepingComputerの記事によれば、AVGとMalwarebytesも最新版で修正済みとのこと。また、Aviraはパッチを準備中とツイートしており、Bitdefenderは影響が少ないとしつつも、今後修正を行うとユーザーフォーラムに投稿している。一方、ComodoNorton(Symantec)は攻撃をブロックできると反論するコメントをユーザーフォーラムに投稿している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年03月27日 0時33分 (#3182883)

    >攻撃を成功させるにはローカルでのアクセスと管理者権限が必要となるため
    これって普通に操作してるのと変わらないから何だって出来るのは当たり前でしょ
    linuxで言うならrootで作業してるのと同じ

  • by Anonymous Coward on 2017年03月26日 10時23分 (#3182640)

    やっぱりWindows Defenderを選んだ俺の目に狂いはなかった。

    それにしてもマウスコンピューターはBTOオプションに30日限定ウイルス対策ソフトをインストールしないオプションを用意すべき。

    • by Anonymous Coward

      mcafee security scan plusなどというゴミを配布し続ける会社を信用し続けるやつがいるのが不思議

  • by Anonymous Coward on 2017年03月26日 10時46分 (#3182649)

    ソフトウェアに不具合はつきもの
    対応さえしてくれれば問題なし

    • まず、Application Verifierには、レジストリを設定することで正規のコード検証ツール以外のDLLをプロセス起動時にインジェクト可能な非公開機能が存在することが、遅くとも2011年から知られていたわけだ。
    • これがウイルス対策ソフトウェアに使われたらヤバイと、さすがのMSも気づき、「Protected Processes」なるプロセス保護機能を搭載した。
    • めでたし。めでたし。(ただしWindows 8.1以降、且つWindows Defender等のProtected Processesを利用する製品を使う場合に限る)

    じゃねえだろ?
    Application Verifierの「レジストリを設定することで正規のコード検証ツール以外のDLLをプロセス起動時にインジェクト可能な非公開機能が存在する」という脆弱性が残ったままやんけ?
    こんなもんウイルス対策ソフトウェア以外で使われたって相当にヤバイ。
    ブラウザやSteamやUplay等がこの脆弱性攻撃のターゲットにされると考えただけでも寒気がする。
    MicrosoftはApplication Verifierを先にどうにかしろよ。
    もはやWindows Defenderだけの問題じゃねえだろ。

    • by Anonymous Coward on 2017年03月26日 11時28分 (#3182660)

      任意のレジストリを変更できるなら
      そもそもなんでもできるだろ

      親コメント
      • by Anonymous Coward

        それな。BitDefenderも同しこと言うとるわ。そんな権限あんならAVをアンインストールしろと

        the fact that in order for the exploit be successful, it needs to be executed with administrator rights, considerably narrows the attack surface. Its actually easier to uninstall the security solution if you have administrator rights for example.

        • by Anonymous Coward

          アンチウィルスを削除すると気づかれてしまう可能性が高い。
          企業なら個別のPCでアンチウィルスが動作しているか監視しているだろうし。

          気づかれず長く情報収集するのが好ましい。

          そもそも有料アンチウィルスの購入者は、ネットから落としたアプリに今回のようなマルウェアが仕掛けられていても、アンチウイルスが動作しつづけることを期待していると思うんだよね。

          • by Anonymous Coward

            > アンチウィルスを削除すると気づかれてしまう可能性が高い。
            > 企業なら個別のPCでアンチウィルスが動作しているか監視しているだろうし。
            >
            > 気づかれず長く情報収集するのが好ましい。

            つまりCIAがいつでも余裕で確定クラックできるiPhoneやiPadやMacは絶対に使わないほうがいい、ってことですね

            • by Anonymous Coward

              まあ、普通の人はCIAに監視されていても気にしないだろう。
              CIAに聞かれたくないからって電話を使わないって人は少数派だろうし。
              奴らがその気になれば、家に盗聴器やカメラを仕掛けるなんで造作もないし。

              • by Anonymous Coward

                Apple製品を一つも持ってなくても信者になれるなんて、なんてApple様は心が広いんだ!
                俺のスマホは白いからに違いない。

              • by Anonymous Coward

                CIAがいつでも余裕で確定クラック、っての自体がソースのない妄想だからなぁ
                妄想に妄想を重ねがけするのは無意味だし、そんなことしても現実は変わらないのだからなおさら無意味だし

        • by Anonymous Coward

          権限昇格のバグと組み合わせれば行ける。
          権限昇格系のバグは滅多にないが。

      • by Anonymous Coward

        真面目な話ソフトをインストールするタイミングを使えばこの手のマルウェアを仕込める。

        • by Anonymous Coward

          インストールする前にレジストリいじれたらな
          レジストリいじれたらなんでもできるわけで…って話で#3182660に戻る

          • by Anonymous Coward

            まあいわゆるセキュリティソフトならレジストリの監視も行うのでこんなに怪しいエントリにこんなに怪しい数値を書き込もうとするソフトはブロックするよね。

        • by Anonymous Coward

          インストーラー管理者権限を要求し過ぎ問題

    • どう考えても、ローカルマシン触らせて管理者権限も付与するユーザの行動が脆弱性

      親コメント
    • format c:するとデータが消える脆弱性があるらしいよ

      親コメント
    • by Anonymous Coward

      ブラウザやSteamやUplay等はレジストリを設定する権限を持っとるんか?だとしたらヤバイな。

    • by Anonymous Coward

      その通りですよ
      だからこそ管理者権限を常用してはいけないのです

    • by Anonymous Coward

      s/レジストリを設定することで/管理者権限が必要なレジストリを設定することで/g

  • by Anonymous Coward on 2017年03月26日 20時43分 (#3182819)

    HKEY_LOCAL_MACHINEのキーを変更してApplication Verifierを有効にするとプロセスインジェクションできるのは
    Windowsの脆弱性でないのは当然だが、じゃあアンチウイルスの脆弱性になるのかといったらならないだろう。

    OSの新しい保護機能を使っていないのは弱みかもしれないが、脆弱性ではないし現実の危険があるわけでもないだろう。

    なんか、いわゆるポリコレ棍棒とか、森友学園問題とか、次のストーリーのGoogleのSymmantic批判とかと同種の
    「弱みのある相手を声高に非難して自分を偉く見せる」系のやつに見える。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...