パスワードを忘れた? アカウント作成
Close
14173716 story
ニュース

ほぼすべてのウイルス対策ソフトにOSを破壊可能な脆弱性、ただしは多くのソフトで修正済み 22

ストーリー by hylom
特権を持つソフトの脆弱性 部門より

ウイルス対策ソフトがマルウェアなどを削除するタイミングで競合状態を発生させることで、OSに必要なファイルなどを破壊できるという攻撃手法が報告されている(PC Watch)。

ウイルス対策ソフトはマルウェアを含むファイルを検知した場合、そのファイルを削除もしくは隔離するが、そのタイミングで削除・隔離対象のファイルをジャンクションやシンボリックリンクに置き換えることで、そのジャンクションやシンボリックリンクが参照しているファイルやディレクトリを削除できるという。ウイルス対策ソフトは多くの場合特権を持っているため、この手法ではシステムファイルなども削除できてしまうことが問題だとされている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ほぼすべてのウイルス対策ソフトにOSを破壊可能な脆弱性、ただしは多くのソフトで修正済み More

  • 時節柄 (スコア:0)

    by Anonymous Coward on 2020年04月30日 14時44分 (#3806906)

    「ウイルス対策ソフト」という単語に対し、微妙に過剰反応してしまう。

    • Re: (スコア:0)

      by Anonymous Coward

      新型コロナウイルス対策ソフトバンク(他意はない

    • Re: (スコア:0)

      by Anonymous Coward

      「アンチウイルスソフト」「ワクチンソフト(死語」の意味で「ウイルスソフト」という略語が出回っており、
      この「ウイルスソフト」は見るたびに「えぇ・・・」って気持ちになる。

      まぁ、「悪意あるソフトウェア」「マルウェア」「トロイの木馬」「ワーム」などの意味で「ウイルスソフト」なる語を使うことも一方で、まれなので、
      「ウイルスソフト」は大抵はアンチウイルスソフトの意味なのだが。

      • Re: (スコア:0)

        by Anonymous Coward

        OSぶっ壊したりするからウイルスソフトで合ってる。こんなのに金払う馬鹿の気が知れない。

  • タイトルくらいは推敲しよっか?

    • Re: (スコア:0)

      by Anonymous Coward

      いや、「ただし」はウィルスの名称じゃないか?
      多くのソフトで修正済みなんだから。

    • Re: (スコア:0)

      by Anonymous Coward

      自身の誤字脱地って推古しても結講分からないよねぇ

      • Re: (スコア:0)

        by Anonymous Coward

        推古すればとても有能な聖徳太子がついてくるので大丈夫だぁ

      • Re: (スコア:0)

        by Anonymous Coward

        原稿が完成してもすぐに送らず朝まで寝かせろ、との教えが。

    • Re: (スコア:0)

      by Anonymous Coward

      なまじ推敲したから意味不明になるんだよ。

  • Windowsのファイルのコピーは、驚くほど奥が深い (スコア:0)

    by Anonymous Coward on 2020年04月30日 15時25分 (#3806932)

    https://srad.jp/story/19/05/09/0526247/ [srad.jp]
    この記事を思い出した。
    ジャンクションやシンボリックリンクも出てくるし。

    # MicrosoftのForumでシンボリックリンクが「シンボリッ***ンク」になっているのを見たのでAC

    • Re: (スコア:0)

      by Anonymous Coward

      #俺もフォーラムに投稿したことあるが、記載中の「クリック」が「***ック」になってしまって、これで伝わるんだろーかと思った事があるのでAC

  • ただしは多くのソフトで修正済み (スコア:0)

    by Anonymous Coward on 2020年04月30日 15時35分 (#3806939)

    日本語としておかしい事はさて置き、
    どうやって対策するの?
    ウイルスが削除・隔離対象のファイルをジャンクションやシンボリックリンクに置き換えても、一切無視してWindows/macOS/Linux本来のディレクトリ=フォルダ・ファイルのみを扱うとかが可能だったりするの?

    • Re: (スコア:0)

      by Anonymous Coward

      UNIXでは古典的な攻撃なのでそっちの対策でも参照するがよろし。

      シンボリックリンクが後付けのWindowsでは(まさに今回露呈したように)アプリが対策していない可能性が高いので、こういう事態を防ぐためにシンボリックリンクの作成には管理者権限を必須にしていたのに、WSLやら何やらでどんどんなし崩しのgdgdに。

      • Re: (スコア:0)

        by Anonymous Coward

        いったいどこがなし崩しになったんだよ

      • Re: (スコア:0)

        by Anonymous Coward

        ・標準ユーザーでもシンボリックリンクを作れるようにするには開発者モードに切り替えなきゃいけない
        ・開発者モードに切り替えるには管理者権限が必要

        どのあたりがgdgd?

      • Re: (スコア:0)

        by Anonymous Coward

        #3806955の脳内がgdgd

    • Re: (スコア:0)

      by Anonymous Coward

      ウィルスと判定したファイルを後からパスで再オープンするとかしないで、判定した時のファイルハンドルを使って処理すればいいんでないの。

  • よくわからないのだが、 (スコア:0)

    by Anonymous Coward on 2020年04月30日 15時53分 (#3806951)

    > そのタイミングで削除・隔離対象のファイルをジャンクションやシンボリックリンクに置き換えることで

    セキュリティソフトが動作している状態で置き換えることは可能なの?

    • Re: (スコア:0)

      by Anonymous Coward

      ジャンクションやLinuxのシンボリックリンクを作るのに特別な権限いらないし、出来ないと考える理由がわからん。
      典型的なTOCTOU攻撃でしょ。

      linuxというかPOSIXはinode番号やfile descriptorでのファイル操作APIを追加してほしいわ。
      ファイルの中身を見てrenameやunlink叩いてると、どう足掻いても隙間ができる。

  • ノートン先生 (スコア:0)

    by Anonymous Coward on 2020年04月30日 20時47分 (#3807233)

    XPの頃、Program Filesをリパースポイントで別ドライブに振っていたら
    ノートン先生が「驚異を発見したが削除に失敗」のダイアログを無限に出し続ける状態になった思い出。
    しかもその対象は意図的にインストールしたアプリ(ハッキングツール分類)で消す必要もなかったオチ。
    その上、ノートンのUIプロセス強制終了したらそれで普通に黙ってしまう(プロセス監視無しの)おまけ付き。

    当時のノートン先生はこの攻撃にことさら対策は取っていないだろうけど効いたんだろうかね?

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン