Googleが発見したWindowsのマルウェア対策エンジンのバグ、Microsoftが2日で修正 37
ストーリー by headless
迅速 部門より
迅速 部門より
GoogleのProject ZeroがWindowsのマルウェア対策エンジンに「最悪の」脆弱性を発見したのだが、Microsoftが2日ほどで修正を完了し、アップデートを配信した(マイクロソフトセキュリティアドバイザリ 4022344、
Project Zero — Issue 1252)。
マルウェア対策エンジン(Microsoft Malware Protection Engine)はMicrosoftのセキュリティソフトウェアにマルウェアのスキャンなどの機能を提供するもので、Windows DefenderやMicrosoft Security Essentials、Microsoft Endpoint Protectionなどに含まれる。
発見された脆弱性は細工したファイルをスキャンさせることでメモリ破損を引き起こし、リモートからの任意コード実行が可能になるというもの。コードはLocalSystemのセキュリティコンテキストで実行されるため、システムを乗っ取ることもできる。
攻撃者は細工したファイルをユーザーに開かせる必要はない、。マルウェア対策エンジンはローカルのファイルシステムへのアクセスを監視し、スキャンを実行するため、たとえば電子メールに添付して送信し、ターゲットの電子メールクライアントに添付ファイルをダウンロードさせれば攻撃が成立するという。
これについてProject ZeroのTavis Ormandy氏は6日、最悪のリモートコード実行を発見したとツイートしていたが、通知を受けたMicrosoftが修正を完了し、セキュリティアドバイザリを公開したことで、Project Zeroも詳細を公表した。なお、脆弱性はマルウェア対策エンジンのバージョン1.1.13704.0以降で修正されている。
マルウェア対策エンジン(Microsoft Malware Protection Engine)はMicrosoftのセキュリティソフトウェアにマルウェアのスキャンなどの機能を提供するもので、Windows DefenderやMicrosoft Security Essentials、Microsoft Endpoint Protectionなどに含まれる。
発見された脆弱性は細工したファイルをスキャンさせることでメモリ破損を引き起こし、リモートからの任意コード実行が可能になるというもの。コードはLocalSystemのセキュリティコンテキストで実行されるため、システムを乗っ取ることもできる。
攻撃者は細工したファイルをユーザーに開かせる必要はない、。マルウェア対策エンジンはローカルのファイルシステムへのアクセスを監視し、スキャンを実行するため、たとえば電子メールに添付して送信し、ターゲットの電子メールクライアントに添付ファイルをダウンロードさせれば攻撃が成立するという。
これについてProject ZeroのTavis Ormandy氏は6日、最悪のリモートコード実行を発見したとツイートしていたが、通知を受けたMicrosoftが修正を完了し、セキュリティアドバイザリを公開したことで、Project Zeroも詳細を公表した。なお、脆弱性はマルウェア対策エンジンのバージョン1.1.13704.0以降で修正されている。
すでに攻撃に使われていたかな (スコア:0)
身代金ウイルスに使われていたような、、、
Re: (スコア:0)
このニュースですね。
http://www.nikkei.com/article/DGXLASGN12H1Y_S7A510C1000000/ [nikkei.com]
古い脆弱性なので今回のとは別でした。
Re: (スコア:0)
対策がやたらに早かったのはゼロデイだからか
アップデート (スコア:0)
すぐアップデートしない俺最強みたいな人の元ネタって何なんでしょうかね
そういう人たちは自分の中ではセキュリティ意識が高いらしいからMicrosoft製の対策ソフトなんて無効化して無料のものを入れてるでしょうし問題ないですね
サポートさせられる側としては中途半端な人ほど最悪なんですよ・・・
Re: (スコア:0)
お前は一体何と戦っているんだ…
Re: (スコア:0)
サポートさせる側
このひとはサポートさせられる側
だとおもふ
Re: (スコア:0)
多分、フリーザじゃないかな。
ベジータ「早く、そんな仕事はやめるんだ!!!! 間に合わなくなっても知らんぞーっ!!!!」
Re: (スコア:0)
アップデートしない馬鹿と、でしょ
「2日で修正(キリッ」などとドヤってる場合か? (スコア:0)
江添亮も言及している [blogspot.com]ように
MSのアンチマルウェアソフトウェアには、NScriptというJavaScript風のインタープリターが入っている。これによってあるJavaScriptコードが既知の悪意あるソフトウェアのパターンに一致するかどうかを調べている。JavaScriptはいくらでも同等内容になるように変形可能なので、実際に実行しなければパターンに一致するかどうかわからない。したがってこのように実際に実行して挙動がパターンに一致するかどうか調べる仕組みが必要になる。
問題は、このインタープリターは極めて強い権限で実行され、サンドボックス化もされていない。これはセキュリティソフトウェアとして問題外の実装だ。任意の悪意ある可能性があるコードの挙動を実際に実行して調べるのに、不必要な権限の放棄や適切なサンドボックス化を行っていないのはありえない。
かつ、MSのアンチマルウェアソフトウェアはファイルシステムの変更を監視していて、ファイルシステムのどこに書き込まれようと、JavaScriptっぽいコードは全部、このNScriptインタープリターで実行して、パターン検出を行おうとする。これは任意のブラウザーなどのソフトウェアのキャッシュなどにも対応できるための実装だ。しかし、これによって、ファイルシステムにさえかきこめれば、どのような方法であっても脆弱性をつくコード実行が可能になる。
結果として、マイクロソフトのアンチマルウェアの脆弱性を悪用するには、悪意あるJavaScriptコードをメールで送る、Webブラウザーで閲覧させるなどの何らかの方法で、ファイルシステム上に書き出させればよい。ユーザーがメールを実際に閲覧するとかソフトウェアを実行するといった操作は必要がない。
あるJavaScriptコードが悪意あるものであるかどうかを実際に実行して調べるセキュリティ対策のソフトウェアが存在するせいで強い権限による任意のコード実行につながるというのは、極めて皮肉だ。
問題はそのマルウェア判定インタプリタの設計だろ?
当該部分の修正をする前に、まずdjb教にでも入信 [qmail.jp]して設計から根本的にやり直して欲しいレベル。
Re: (スコア:0)
実装クソでしょってのはその通りだと思うんですが、
>ファイルシステムのどこに書き込まれようと、JavaScriptっぽいコードは全部、このNScriptインタープリターで実行して、パターン検出を行おうとする
これは本当なんでしょうか?
手元の環境だとnscript-type-confusion.zipを保存しただけでは何も起こらず、ダブルクリックした段階でようやくMsMpEngが死んだんですが…
Re: (スコア:0)
初期設定だと圧縮されたファイルは中身を展開する段階まで放置だったと思いますよ。
Re: (スコア:0)
ご指摘ありがとうございました。
仰る通り拡張子がZIPだったから保存時のスキャンを免れていただけでした。
# 非常に恥ずかしい
Re: (スコア:0)
zipになってりゃ無害だろつーか
一時的にしろ展開しなけりゃ実行も検査もできない
ダブルクリックでそれが起こったと、普通は考える罠
(拡張子擬装はまたべつの話)
Re: (スコア:0)
いや、該当コンテキストの権限ドロップが最優先。自社製じゃないんじゃないのかと思わせる品質の悪さ。
msmpeng には、記憶が確かなら(古い解析によると)、ネイティブコードの試し実行もある。
バグが出て当たり前の複雑さだろう、突破されたときの対策がないなんて傲慢にもほどがある。
Re: (スコア:0)
リンク先にあるdjb教の7番目って、これ一番やっちゃいかん奴じゃね?
私はCの標準ライブラリをほとんど使っていません。
その多くの便利な機能、とくに標準入出力(stdio)はバグを入れ易くする ように思えます。
qmailのかなりの部分は ここ数年の間に各種アプリケーションのために私が開発した基本的なCライブラリ を流用したものです。
Re:「2日で修正(キリッ」などとドヤってる場合か? (スコア:1)
「7.虫のないコードを書く」
書こうと思って書けるなら苦労せんわ!!!
Re: (スコア:0)
djbだけは良いんですよ。他の人がやったらアホを見るけど。
Re: (スコア:0)
Cライブラリの代替品をわざわざ自己開発してメンテ出来るほどの能力があればいいんじゃね。
stdioがバグを誘発しやすい、出来るだけ使うな、というのは実際そうなんだし。
なんかこわいアーキテクチャだな (スコア:0)
LOCAL SYSTEM権限で実行しちゃうのはひどいけど、サンドボックスで実行したところで脆弱性の緩和策にしかならないわけで。
本質的な問題点として、アンチウイルスソフトっていうのは、わざわざローカルPCから未知のファイルを探してきて、
JavaScript相当のインタープリタで実行してあげてるわけか。
JavaScript相当の規模のインタープリタにおいて脆弱性が撲滅できるなんて望み薄だし、
攻撃者からしたら、ブラウザなんかよりよっぽど便利な攻撃サーフェイスを提供してくれてるように見えるわな。
他のアンチウイルスソフトもこうなのかね。
Re:なんかこわいアーキテクチャだな (スコア:1)
ヒューリスティック検知とかを持つアンチウィルスは普通にそうですよ。
VM内で仮想的に実行してその挙動を見てパターンとひっかける。
だから、思慮が足りずに一部パッカーとかが諸々引っ掛かる事も有る。
Re: (スコア:0)
実は、この世界も計算機上でシミュレートしたもので、回復不能な結末を迎えると「お取り潰し」になるのです。
潰されても大丈夫。パラレルワールドで、別の選択肢からの展開が進んでいますから。
Re: パラレルワールドで、別の選択肢からの展開が (スコア:0)
>潰されても大丈夫。パラレルワールドで、別の選択肢からの展開が進んでいますから。
その選択肢にあなたの存在が残っているとは限らない...
Re: (スコア:0)
その選択肢にあなたの存在が残っているとは限らない...
ごく普通のあなたは
ごく普通に恋をし
ごく普通の結婚をしました
でもただひとつ違っていたのは
そのあなたはこの世界のあなたではなかったのです
Re: (スコア:0)
いままで狙われなかったのが不思議なくらいですね。これがきっかけで、これからはアンチウイルスに対する攻撃が流行るかも。
Re: (スコア:0)
アンチウィルス自体がウィルスみたいなもんだからな。何とかバスターとか。
Re: (スコア:0)
https://security.srad.jp/story/17/05/07/0547228/ [security.srad.jp] 見た?
Re: (スコア:0)
ブラウザなんて狙ってる場合じゃねえ! ガタッ(AA略
今月の定例アップデートにパッチが間に合わない、とか書いてたマスゴミは腹を切れ (スコア:0)
邪悪なM$(笑)がミスした時は鬼の首を取ったように大騒ぎするくせに
自分がミスした時は随分と優しいんだなww
MS本気だな! (スコア:0)
単にGoogleに「一昨日来やがれ」というギャグを言いたいが為に2日でリリースするとは!!
アンチウイルスは不要Windows Defenderに切り替えましたとか言ってた人は (スコア:0)
今頃息してるのでしょうか?
Re: (スコア:0)
Google…。
Re: (スコア:0)
わはは。まさにGoogleが言ってましたなあ。もちろん意味は違うけど。
Re: (スコア:0)
もう修正されたんだからどうでもいい
Re: (スコア:0)
さて、生き残っているのはどのセキュリティソフトを使ってるユーザでしょうか?
Re: (スコア:0)
蠱毒のように全部のセキュリティソフトを集めて、最後に残ったものを使えば・・・。
Re: (スコア:0)
現実では入れれば入れるほどリスクが増えるか、そもそも死ぬかのどちらかですけどね。
# 各コーポレート版とか変更点をキッチリ書いてるけど、この手の脆弱性を直しましたって結構載ってるという。
Re: (スコア:0)
「意識高い系」を叩きたがる人によく見られる誤解だが、これまで高評価だったXがダメだと判明したからといって、これまで低評価だったYの価値が上がるわけじゃないからね。