パスワードを忘れた? アカウント作成
13279463 story
マイクロソフト

Googleが発見したWindowsのマルウェア対策エンジンのバグ、Microsoftが2日で修正 37

ストーリー by headless
迅速 部門より
GoogleのProject ZeroがWindowsのマルウェア対策エンジンに「最悪の」脆弱性を発見したのだが、Microsoftが2日ほどで修正を完了し、アップデートを配信した(マイクロソフトセキュリティアドバイザリ 4022344Project Zero — Issue 1252)。

マルウェア対策エンジン(Microsoft Malware Protection Engine)はMicrosoftのセキュリティソフトウェアにマルウェアのスキャンなどの機能を提供するもので、Windows DefenderやMicrosoft Security Essentials、Microsoft Endpoint Protectionなどに含まれる。

発見された脆弱性は細工したファイルをスキャンさせることでメモリ破損を引き起こし、リモートからの任意コード実行が可能になるというもの。コードはLocalSystemのセキュリティコンテキストで実行されるため、システムを乗っ取ることもできる。

攻撃者は細工したファイルをユーザーに開かせる必要はない、。マルウェア対策エンジンはローカルのファイルシステムへのアクセスを監視し、スキャンを実行するため、たとえば電子メールに添付して送信し、ターゲットの電子メールクライアントに添付ファイルをダウンロードさせれば攻撃が成立するという。

これについてProject ZeroのTavis Ormandy氏は6日、最悪のリモートコード実行を発見したとツイートしていたが、通知を受けたMicrosoftが修正を完了し、セキュリティアドバイザリを公開したことで、Project Zeroも詳細を公表した。なお、脆弱性はマルウェア対策エンジンのバージョン1.1.13704.0以降で修正されている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年05月13日 12時19分 (#3210110)

    身代金ウイルスに使われていたような、、、

  • by Anonymous Coward on 2017年05月13日 12時30分 (#3210117)

    すぐアップデートしない俺最強みたいな人の元ネタって何なんでしょうかね

    そういう人たちは自分の中ではセキュリティ意識が高いらしいからMicrosoft製の対策ソフトなんて無効化して無料のものを入れてるでしょうし問題ないですね

    サポートさせられる側としては中途半端な人ほど最悪なんですよ・・・

    • by Anonymous Coward

      お前は一体何と戦っているんだ…

      • by Anonymous Coward

        サポートさせる側
        このひとはサポートさせられる側
        だとおもふ

      • by Anonymous Coward

        多分、フリーザじゃないかな。

        ベジータ「早く、そんな仕事はやめるんだ!!!! 間に合わなくなっても知らんぞーっ!!!!」

      • by Anonymous Coward

        アップデートしない馬鹿と、でしょ

  • by Anonymous Coward on 2017年05月13日 12時33分 (#3210120)

    江添亮も言及している [blogspot.com]ように

    MSのアンチマルウェアソフトウェアには、NScriptというJavaScript風のインタープリターが入っている。これによってあるJavaScriptコードが既知の悪意あるソフトウェアのパターンに一致するかどうかを調べている。JavaScriptはいくらでも同等内容になるように変形可能なので、実際に実行しなければパターンに一致するかどうかわからない。したがってこのように実際に実行して挙動がパターンに一致するかどうか調べる仕組みが必要になる。

    問題は、このインタープリターは極めて強い権限で実行され、サンドボックス化もされていない。これはセキュリティソフトウェアとして問題外の実装だ。任意の悪意ある可能性があるコードの挙動を実際に実行して調べるのに、不必要な権限の放棄や適切なサンドボックス化を行っていないのはありえない。

    かつ、MSのアンチマルウェアソフトウェアはファイルシステムの変更を監視していて、ファイルシステムのどこに書き込まれようと、JavaScriptっぽいコードは全部、このNScriptインタープリターで実行して、パターン検出を行おうとする。これは任意のブラウザーなどのソフトウェアのキャッシュなどにも対応できるための実装だ。しかし、これによって、ファイルシステムにさえかきこめれば、どのような方法であっても脆弱性をつくコード実行が可能になる。

    結果として、マイクロソフトのアンチマルウェアの脆弱性を悪用するには、悪意あるJavaScriptコードをメールで送る、Webブラウザーで閲覧させるなどの何らかの方法で、ファイルシステム上に書き出させればよい。ユーザーがメールを実際に閲覧するとかソフトウェアを実行するといった操作は必要がない。

    あるJavaScriptコードが悪意あるものであるかどうかを実際に実行して調べるセキュリティ対策のソフトウェアが存在するせいで強い権限による任意のコード実行につながるというのは、極めて皮肉だ。

    問題はそのマルウェア判定インタプリタの設計だろ?

    当該部分の修正をする前に、まずdjb教にでも入信 [qmail.jp]して設計から根本的にやり直して欲しいレベル。

    • by Anonymous Coward

      実装クソでしょってのはその通りだと思うんですが、

      >ファイルシステムのどこに書き込まれようと、JavaScriptっぽいコードは全部、このNScriptインタープリターで実行して、パターン検出を行おうとする
      これは本当なんでしょうか?
      手元の環境だとnscript-type-confusion.zipを保存しただけでは何も起こらず、ダブルクリックした段階でようやくMsMpEngが死んだんですが…

      • by Anonymous Coward

        初期設定だと圧縮されたファイルは中身を展開する段階まで放置だったと思いますよ。

        • by Anonymous Coward

          ご指摘ありがとうございました。
          仰る通り拡張子がZIPだったから保存時のスキャンを免れていただけでした。

          # 非常に恥ずかしい

      • by Anonymous Coward

        zipになってりゃ無害だろつーか
        一時的にしろ展開しなけりゃ実行も検査もできない
        ダブルクリックでそれが起こったと、普通は考える罠
        (拡張子擬装はまたべつの話)

    • by Anonymous Coward

      いや、該当コンテキストの権限ドロップが最優先。自社製じゃないんじゃないのかと思わせる品質の悪さ。
      msmpeng には、記憶が確かなら(古い解析によると)、ネイティブコードの試し実行もある。
      バグが出て当たり前の複雑さだろう、突破されたときの対策がないなんて傲慢にもほどがある。

    • by Anonymous Coward

      リンク先にあるdjb教の7番目って、これ一番やっちゃいかん奴じゃね?

      私はCの標準ライブラリをほとんど使っていません。
      その多くの便利な機能、とくに標準入出力(stdio)はバグを入れ易くする ように思えます。
      qmailのかなりの部分は ここ数年の間に各種アプリケーションのために私が開発した基本的なCライブラリ を流用したものです。

      • 「7.虫のないコードを書く」

        書こうと思って書けるなら苦労せんわ!!!

        親コメント
      • by Anonymous Coward

        djbだけは良いんですよ。他の人がやったらアホを見るけど。

      • by Anonymous Coward

        Cライブラリの代替品をわざわざ自己開発してメンテ出来るほどの能力があればいいんじゃね。
        stdioがバグを誘発しやすい、出来るだけ使うな、というのは実際そうなんだし。

  • by Anonymous Coward on 2017年05月13日 13時02分 (#3210130)

    LOCAL SYSTEM権限で実行しちゃうのはひどいけど、サンドボックスで実行したところで脆弱性の緩和策にしかならないわけで。

    本質的な問題点として、アンチウイルスソフトっていうのは、わざわざローカルPCから未知のファイルを探してきて、
    JavaScript相当のインタープリタで実行してあげてるわけか。

    JavaScript相当の規模のインタープリタにおいて脆弱性が撲滅できるなんて望み薄だし、
    攻撃者からしたら、ブラウザなんかよりよっぽど便利な攻撃サーフェイスを提供してくれてるように見えるわな。

    他のアンチウイルスソフトもこうなのかね。

    • by Anonymous Coward on 2017年05月13日 13時50分 (#3210145)

      ヒューリスティック検知とかを持つアンチウィルスは普通にそうですよ。
      VM内で仮想的に実行してその挙動を見てパターンとひっかける。
      だから、思慮が足りずに一部パッカーとかが諸々引っ掛かる事も有る。

      親コメント
      • by Anonymous Coward

        実は、この世界も計算機上でシミュレートしたもので、回復不能な結末を迎えると「お取り潰し」になるのです。

        潰されても大丈夫。パラレルワールドで、別の選択肢からの展開が進んでいますから。

        • >潰されても大丈夫。パラレルワールドで、別の選択肢からの展開が進んでいますから。

          その選択肢にあなたの存在が残っているとは限らない...

          • by Anonymous Coward

            その選択肢にあなたの存在が残っているとは限らない...

            ごく普通のあなたは
            ごく普通に恋をし
            ごく普通の結婚をしました
            でもただひとつ違っていたのは
            そのあなたはこの世界のあなたではなかったのです

    • by Anonymous Coward

      いままで狙われなかったのが不思議なくらいですね。これがきっかけで、これからはアンチウイルスに対する攻撃が流行るかも。

  • 邪悪なM$(笑)がミスした時は鬼の首を取ったように大騒ぎするくせに
    自分がミスした時は随分と優しいんだなww

  • by Anonymous Coward on 2017年05月13日 19時58分 (#3210271)

    単にGoogleに「一昨日来やがれ」というギャグを言いたいが為に2日でリリースするとは!!

  • 今頃息してるのでしょうか?

    • by Anonymous Coward

      Google…。

      • by Anonymous Coward

        わはは。まさにGoogleが言ってましたなあ。もちろん意味は違うけど。

    • by Anonymous Coward

      もう修正されたんだからどうでもいい

    • by Anonymous Coward

      さて、生き残っているのはどのセキュリティソフトを使ってるユーザでしょうか?

      • by Anonymous Coward

        蠱毒のように全部のセキュリティソフトを集めて、最後に残ったものを使えば・・・。

        • by Anonymous Coward

          現実では入れれば入れるほどリスクが増えるか、そもそも死ぬかのどちらかですけどね。

          # 各コーポレート版とか変更点をキッチリ書いてるけど、この手の脆弱性を直しましたって結構載ってるという。

    • by Anonymous Coward

      「意識高い系」を叩きたがる人によく見られる誤解だが、これまで高評価だったXがダメだと判明したからといって、これまで低評価だったYの価値が上がるわけじゃないからね。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...