トレンドマイクロ製品のドライバーでWindowsの「ドライバーの検証ツール」実行の有無をチェックするコードが見つかる 43
怪しい動き 部門より
headless曰く、
複数のトレンドマイクロ製品が共通して使用するドライバーで、Windowsの「ドライバーの検証ツール」が実行されているかどうかチェックするコードが見つかったそうだ(Bill Demirkap's Blog、The Register、Demirkapi氏のツイート)。
発見したセキュリティ研究者のBill Demirkapi氏は当初、トレンドマイクロのルートキット除去ツール「ルートキットバスター」で逆にルートキットをインストール可能な脆弱性が存在しないか調べようとしていたという。しかし、ルートキットバスターに含まれるドライバー「tmcomm.sys(TrendMicro Common Module)」が他のトレンドマイクロ製品でも使われることに気付き、こちらに絞って調査を行ったとのこと。
Demirkapi氏はtmcommを通じて任意のカーネルメモリを読み書き可能になることを確認したうえで、実行可能な非ページプール(NonPagedPool/NonPagedPoolExecute)の割り当てが行われていないか調査。その結果、OSがWindows 10以降かつドライバーの検証ツールが実行されている場合のみ実行不可の非ページプール(NonPagedPoolNx)が使われ、それ以外ではNonPagedPoolが使われることが判明する。
ドライバーの検証ツールが実行されているかどうかによって分岐処理する理由は明らかになっていないが、検証の成功はWHQL署名取得の要件となっている。そのため、Demirkapi氏はトレンドマイクロがユーザーの安全をないがしろにして通常はNonPagedPoolを用い、ドライバー検証時のみ安全なNonPagedPoolNxを使用してWHQL署名を取得している可能性を指摘する。
これについてトレンドマイクロはThe Registerに対し、Demirkapi氏の主張はミスリーディングであり、事前に同社へ連絡しなかったところからみて注目を浴びたかっただけではないか、などと回答したという。ただし、ドライバーの検証ツールの実行をチェックする理由については説明していない。なお、Demirkapi氏のブログ記事が公開されて以降、トレンドマイクロの米国向けダウンロードページではルートキットバスターがダウンロードできなくなっている。
ウイルスバスターがウイルスだった (スコア:4, 参考になる)
トレンドマイクロ、ウイルスバスターから直接メモリを書き換えて実行したくなる
↓ドライバーを使ってカーネルでもなんでも書き換えられるバックドアを設置
↓そのままだとWHQLが取れないので試験中は「書き換えられるが意味がないモード」に切り替え
↓Demirkapi氏にバレてドン引き
↓「は? そんな機能ねーから。みなさーんオタクのデマでーす指摘はあたらない」
バレてる
これとバスターの「特定のファイル名なら無断実行」の脆弱性を合わせると
特定のファイル名を標的PCに送りつけるとバスターが自動で侵入の手助けをするってことで合ってる?
Re:ウイルスバスターがウイルスだった (スコア:1)
ウイルス大作ソフト?
Re:ウイルスバスターがウイルスだった (スコア:1)
そうかそうか
確保できた。 (スコア:1)
こういうのは貴重なんだよね。TM社が肩代わりしてくれるんだろ。
ちょうど、困ってた用事があったんだよ。
ミラーサイトから落としたから、EULAに拘束される覚えはないし、
tmcomm.sysは、EULAの表示なしに吐き出されるから。
なお、CRLに載ったら、TM社の負けな。
CRLに載らないように、TM社法務は、頑張っていただきたい。
ご馳走様でした。
Re: (スコア:0)
おまわりさんこいつです
Re: (スコア:0)
ああそうか、署名付きドライバだからインストールさせやすくて、
ウィルスバスター入れてなくてもこれの被害受ける可能性あるんだな……
ヤバすぎぃ!
Re: (スコア:0)
アンインストールに失敗してドライバが残ってたら、今はインストールしてなくても影響受けるという。
# アップデーターはアンインストールされてるだろうから、脆弱性があるバージョンが残りっぱなし。
Re: (スコア:0)
CRLに載るのとは違いますが、マイクロソフトがダメと認定しました。
不正疑惑の出ていたトレンドマイクロのドライバ、Windows 10 May 2020 Updateでブロック対象に指定される [security.srad.jp]
集団訴訟? (スコア:0)
べんごしwがアップはじめました?
何度もやらかしてるから、これを機械に業界から消えてほしい
Re: (スコア:0)
こんだけやらかしても客はついてるんだよなぁ。ほんと不思議。
Re: (スコア:0)
安いから?
企業向けライセンス買って会社のPCにバスター導入してるトコあるよね(弊社)
Re: (スコア:0)
安いからだね
まともに品質検証もしないクソ情シスが採用したがる
Re: (スコア:0)
トレンドマイクロ製品がクソってのは同意するが、品質保証してるウィルス対策ソフトってあったっけ?
Re: (スコア:0)
Windows Defender APTさんのこと、忘れないであげてください
Re: (スコア:0)
情シスなんてやってる感だすことしか出来ないのだもの。
無能な働き者は~っていうけど、マジそう思うな。
Re: (スコア:0)
もし何か起きちゃった時に「ウイルス対策ソフト」に金を払ってなかったら怒られる、という状況をなんとかしないとね。
そんなのDefenderでいいからもっと別のところに金を使うべき、とみんな(一般の人も)が思ってくれれば。
Re: (スコア:0)
PCの情報を集めるエージェントやマネジメントの機能に金払ってるようなものかな。Defender ATP使うより遥かに安いし。
うちはトレンドマイクロじゃなくてESETだけど。
Re: (スコア:0)
「国産品のセキュリティソフトが必須」という条件だとここしかないと聞いた
カスペの方が良くてもロシア資本ではダメだとか、ノーガードでは責任転嫁出来ないとか
もうWindowsも止めてプレステ並べてゲーム事務すればいいのに
Re:集団訴訟? (スコア:1)
台湾人がアメリカで起業したのにいつの間にか日本企業で国産品かぁ
Re: (スコア:0)
一応青組㌠でそ。
Re: (スコア:0)
「LINEは日本企業」よりかは、まあ
Re:集団訴訟? (スコア:1)
> 「国産品のセキュリティソフトが必須」という条件だとここしかないと聞いた
https://www.ffri.jp/products/yarai/index.htm [www.ffri.jp]
はガチで日本製だけど。
ちなみに製品名は創業地の新宿区矢来町(新潮社がある)から来ているらしい。
Re: (スコア:0)
へーと思って、個人でも買えるらしいFFRI yarai Home and Business Editionを調べて見たらAmazonで売ってた [amazon.co.jp]んだけど「法人向けは機能追加してるのにHomeは2018年から変化無し」と愚痴られてた。
1ライセンス1年8千円、3年1万5千円とのこと
Re:集団訴訟? (スコア:1)
つかそもそも、7より前ならまだしも、現状のWINで”ノーガード”がありえない訳で(デフォルトでDefenderが動いてるんだから)
検出率はdefenderの方が少し劣っても、正直どっこいレベルだし、
バスターは検出率以外の不具合と脆弱性が多すぎて、入れない方が総合的には安全レベルなのに
Re: (スコア:0)
なんで国産品に拘るんだろうね。
OSがMicrosoftなんだからMicrosoft Forefrontでいいじゃん。
Re: (スコア:0)
そういうウリ文句でやってるだけで、日本製ではないようで。
http://blog.livedoor.jp/blackwingcat/archives/1983063.html [livedoor.jp]
Re: (スコア:0)
あなたの目の前からトレンドマイクロ ウイルスバスターを消すことはできるが、
あなたの向こうのクラウドからTrend Micro Deep Securityを消すことはできないのだ。
なんていうか、ウイルス業界も大変だな (スコア:0)
こういうコード書けって言われるプログラマーの気持ちを考えると複雑
Re: (スコア:0)
プロパーなら・・・望んでヤクザになったくせに殺しはするけどヤクは売らねぇみたいなこと言ってもね
Re: (スコア:0)
銭さえもらえれば何でも書きまっせ。
よくわからん (スコア:0)
問題点は何なんだ?
Re:よくわからん (スコア:3, 参考になる)
ストーリーをかみ砕くと、
MSはWindowが不安定や脆弱になるタコなドライバーが蔓延しないように品質チェックをしてる。
その中の品質チェックに引っかかる一つが、任意コード実行の元となるNonPagedPoolの使用。
トレンドマイクロのドライバーは、テストの時だけ行儀良く振る舞ってるけど、普段は不安定になったり脆弱になるAPIを使っている。
こういうチート行為を重ねた結果起きるのが、WindowUpdateでWindowが起動しなくなる不安定化とか、ルートキット等の侵入元を作る事になる。
Re: (スコア:0)
つまりこういうことね。(ようやくわかった。)
プログラムのメモリ要求に対してメモリを割り当てるとき、ふつう「(コード)実行不可」のページを使用することでプログラムカウンタを書き換えられても一般保護例外(かなんか)で弾くが現代のセキュリティ施策だが、「(コード)実行可能」のページを使用している。
疑問は、ほんとに必要?なんで必要?ドライバ検証時は実行不可にしておき、そうでないときは実行可能なのはなんで?実行不可になっていないのはなぜ?
まあ、某自動車メーカーと同じで、お国の監査のときは「ちゃんと完成車検査やってますよ」していた。現場はそんなんじゃ出荷数が未達だとして、現場猫化。
な
Re:よくわからん (スコア:1)
マイクロソフトも少しは考えている事態だろう。
以前より、WHQLテストのときだけ挙動を変える事例があったことは明かされている(NonPagedPoolかどうかは知らん)。
Defrauding the WHQL driver certification process | The Old New Thing [microsoft.com]
まあでもこっちで紹介されているのはグラフィックのドライバが高速のためという話であって、今回のtmcomm.sysよりはまだまともな動機だと思う。
Re: (スコア:0)
Re: (スコア:0)
毒を薬だと言って売っていた事
Re: (スコア:0)
セキュリティ全部すっ飛ばしてプログラムを直接流し込める公式バックドアが見つかったってこと
なぜそんなバカなものを作ったのかは不明
Re: (スコア:0)
IT界のフォルクスワーゲン
Re: (スコア:0)
> 問題点は何なんだ?
機能面というより、企業としての倫理面の問題じゃないですかね…
■ 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ
http://takagi-hiromitsu.jp/diary/20181031.html [takagi-hiromitsu.jp]
既視感 (スコア:0)
トレンドマイクロのはウイルスソフトだって未だに認知が進んでいないのか。
抱き合わせやお安くしますよに騙されて導入する団体が多くて心配になるよな。
Re: (スコア:0)
抱き合わせは経験したことが無いので意見を控えますが
他製品でも構成によってはTM製より安い
発注元が何にも考えないで指定しているのが多いと感じます
以前地方のSIerと話したときにVBCは指定品だから入れておいて
他製品でウィルス対策していると聞いたことがあります
Windows PC上でVBCと他ソフトを混用すると起動不能になるとか
とんでもない障害を体験しているのでたぶんネットワーク上での
保護をしていたんだと想像します
仕切りが安いとかも無いし運用上苦労する(パッチもまともに当たらない等)TM製品を
ベンダーが推奨する理由がわかりません
Re: (スコア:0)
それだけ上司に安心感を与える効果が高いということかもしれない
# 中身はともかく