パスワードを忘れた? アカウント作成
14194695 story
Windows

トレンドマイクロ製品のドライバーでWindowsの「ドライバーの検証ツール」実行の有無をチェックするコードが見つかる 43

ストーリー by hylom
怪しい動き 部門より

headless曰く、

複数のトレンドマイクロ製品が共通して使用するドライバーで、Windowsの「ドライバーの検証ツール」が実行されているかどうかチェックするコードが見つかったそうだ(Bill Demirkap's BlogThe RegisterDemirkapi氏のツイート)。

発見したセキュリティ研究者のBill Demirkapi氏は当初、トレンドマイクロのルートキット除去ツール「ルートキットバスター」で逆にルートキットをインストール可能な脆弱性が存在しないか調べようとしていたという。しかし、ルートキットバスターに含まれるドライバー「tmcomm.sys(TrendMicro Common Module)」が他のトレンドマイクロ製品でも使われることに気付き、こちらに絞って調査を行ったとのこと。

Demirkapi氏はtmcommを通じて任意のカーネルメモリを読み書き可能になることを確認したうえで、実行可能な非ページプール(NonPagedPool/NonPagedPoolExecute)の割り当てが行われていないか調査。その結果、OSがWindows 10以降かつドライバーの検証ツールが実行されている場合のみ実行不可の非ページプール(NonPagedPoolNx)が使われ、それ以外ではNonPagedPoolが使われることが判明する。

ドライバーの検証ツールが実行されているかどうかによって分岐処理する理由は明らかになっていないが、検証の成功はWHQL署名取得の要件となっている。そのため、Demirkapi氏はトレンドマイクロがユーザーの安全をないがしろにして通常はNonPagedPoolを用い、ドライバー検証時のみ安全なNonPagedPoolNxを使用してWHQL署名を取得している可能性を指摘する。

これについてトレンドマイクロはThe Registerに対し、Demirkapi氏の主張はミスリーディングであり、事前に同社へ連絡しなかったところからみて注目を浴びたかっただけではないか、などと回答したという。ただし、ドライバーの検証ツールの実行をチェックする理由については説明していない。なお、Demirkapi氏のブログ記事が公開されて以降、トレンドマイクロの米国向けダウンロードページではルートキットバスターがダウンロードできなくなっている。

  • by Anonymous Coward on 2020年05月26日 12時56分 (#3821910)

    トレンドマイクロ、ウイルスバスターから直接メモリを書き換えて実行したくなる
    ↓ドライバーを使ってカーネルでもなんでも書き換えられるバックドアを設置
    ↓そのままだとWHQLが取れないので試験中は「書き換えられるが意味がないモード」に切り替え
    ↓Demirkapi氏にバレてドン引き
    ↓「は? そんな機能ねーから。みなさーんオタクのデマでーす指摘はあたらない」
    バレてる

    これとバスターの「特定のファイル名なら無断実行」の脆弱性を合わせると
    特定のファイル名を標的PCに送りつけるとバスターが自動で侵入の手助けをするってことで合ってる?

    ここに返信
  • by Anonymous Coward on 2020年05月26日 17時22分 (#3822064)

    こういうのは貴重なんだよね。TM社が肩代わりしてくれるんだろ。
    ちょうど、困ってた用事があったんだよ。
    ミラーサイトから落としたから、EULAに拘束される覚えはないし、
    tmcomm.sysは、EULAの表示なしに吐き出されるから。

    なお、CRLに載ったら、TM社の負けな。
    CRLに載らないように、TM社法務は、頑張っていただきたい。

    ご馳走様でした。

    ここに返信
  • by Anonymous Coward on 2020年05月26日 13時21分 (#3821919)

    べんごしwがアップはじめました?
    何度もやらかしてるから、これを機械に業界から消えてほしい

    ここに返信
    • by Anonymous Coward

      こんだけやらかしても客はついてるんだよなぁ。ほんと不思議。

      • by Anonymous Coward

        安いから?
        企業向けライセンス買って会社のPCにバスター導入してるトコあるよね(弊社)

        • by Anonymous Coward

          安いからだね
          まともに品質検証もしないクソ情シスが採用したがる

          • by Anonymous Coward

            トレンドマイクロ製品がクソってのは同意するが、品質保証してるウィルス対策ソフトってあったっけ?

            • by Anonymous Coward

              Windows Defender APTさんのこと、忘れないであげてください

          • by Anonymous Coward

            情シスなんてやってる感だすことしか出来ないのだもの。
            無能な働き者は~っていうけど、マジそう思うな。

          • by Anonymous Coward

            もし何か起きちゃった時に「ウイルス対策ソフト」に金を払ってなかったら怒られる、という状況をなんとかしないとね。
            そんなのDefenderでいいからもっと別のところに金を使うべき、とみんな(一般の人も)が思ってくれれば。

            • by Anonymous Coward

              PCの情報を集めるエージェントやマネジメントの機能に金払ってるようなものかな。Defender ATP使うより遥かに安いし。
              うちはトレンドマイクロじゃなくてESETだけど。

      • by Anonymous Coward

        「国産品のセキュリティソフトが必須」という条件だとここしかないと聞いた
        カスペの方が良くてもロシア資本ではダメだとか、ノーガードでは責任転嫁出来ないとか

        もうWindowsも止めてプレステ並べてゲーム事務すればいいのに

        • by Anonymous Coward on 2020年05月26日 16時11分 (#3822025)

          台湾人がアメリカで起業したのにいつの間にか日本企業で国産品かぁ

          • by Anonymous Coward

            一応青組㌠でそ。

          • by Anonymous Coward

            「LINEは日本企業」よりかは、まあ

        • by nim (10479) on 2020年05月26日 20時51分 (#3822190)

          > 「国産品のセキュリティソフトが必須」という条件だとここしかないと聞いた

          https://www.ffri.jp/products/yarai/index.htm [www.ffri.jp]

          はガチで日本製だけど。
          ちなみに製品名は創業地の新宿区矢来町(新潮社がある)から来ているらしい。

          • by Anonymous Coward

            へーと思って、個人でも買えるらしいFFRI yarai Home and Business Editionを調べて見たらAmazonで売ってた [amazon.co.jp]んだけど「法人向けは機能追加してるのにHomeは2018年から変化無し」と愚痴られてた。
            1ライセンス1年8千円、3年1万5千円とのこと

        • by Anonymous Coward on 2020年05月27日 9時30分 (#3822384)

          つかそもそも、7より前ならまだしも、現状のWINで”ノーガード”がありえない訳で(デフォルトでDefenderが動いてるんだから)
          検出率はdefenderの方が少し劣っても、正直どっこいレベルだし、
          バスターは検出率以外の不具合と脆弱性が多すぎて、入れない方が総合的には安全レベルなのに

        • by Anonymous Coward

          なんで国産品に拘るんだろうね。
          OSがMicrosoftなんだからMicrosoft Forefrontでいいじゃん。

        • by Anonymous Coward

          そういうウリ文句でやってるだけで、日本製ではないようで。
          http://blog.livedoor.jp/blackwingcat/archives/1983063.html [livedoor.jp]

    • by Anonymous Coward

      あなたの目の前からトレンドマイクロ ウイルスバスターを消すことはできるが、
      あなたの向こうのクラウドからTrend Micro Deep Securityを消すことはできないのだ。

  • by Anonymous Coward on 2020年05月26日 14時21分 (#3821955)

    こういうコード書けって言われるプログラマーの気持ちを考えると複雑

    ここに返信
    • by Anonymous Coward
      外注ならそんな気持ちとか関係なく要求されたプログラムを作るだけだし
      プロパーなら・・・望んでヤクザになったくせに殺しはするけどヤクは売らねぇみたいなこと言ってもね
    • by Anonymous Coward

      銭さえもらえれば何でも書きまっせ。

  • by Anonymous Coward on 2020年05月26日 16時41分 (#3822037)

    問題点は何なんだ?

    ここに返信
    • Re:よくわからん (スコア:3, 参考になる)

      by Anonymous Coward on 2020年05月26日 17時07分 (#3822057)

      ストーリーをかみ砕くと、

      MSはWindowが不安定や脆弱になるタコなドライバーが蔓延しないように品質チェックをしてる。
      その中の品質チェックに引っかかる一つが、任意コード実行の元となるNonPagedPoolの使用。

      トレンドマイクロのドライバーは、テストの時だけ行儀良く振る舞ってるけど、普段は不安定になったり脆弱になるAPIを使っている。
      こういうチート行為を重ねた結果起きるのが、WindowUpdateでWindowが起動しなくなる不安定化とか、ルートキット等の侵入元を作る事になる。

      • by Anonymous Coward

        つまりこういうことね。(ようやくわかった。)
        プログラムのメモリ要求に対してメモリを割り当てるとき、ふつう「(コード)実行不可」のページを使用することでプログラムカウンタを書き換えられても一般保護例外(かなんか)で弾くが現代のセキュリティ施策だが、「(コード)実行可能」のページを使用している。
        疑問は、ほんとに必要?なんで必要?ドライバ検証時は実行不可にしておき、そうでないときは実行可能なのはなんで?実行不可になっていないのはなぜ?

        まあ、某自動車メーカーと同じで、お国の監査のときは「ちゃんと完成車検査やってますよ」していた。現場はそんなんじゃ出荷数が未達だとして、現場猫化。

    • by Anonymous Coward

      毒を薬だと言って売っていた事

    • by Anonymous Coward

      セキュリティ全部すっ飛ばしてプログラムを直接流し込める公式バックドアが見つかったってこと
      なぜそんなバカなものを作ったのかは不明

    • by Anonymous Coward

      IT界のフォルクスワーゲン

    • by Anonymous Coward

      > 問題点は何なんだ?

      機能面というより、企業としての倫理面の問題じゃないですかね…

      ■ 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ
      http://takagi-hiromitsu.jp/diary/20181031.html [takagi-hiromitsu.jp]

  • by Anonymous Coward on 2020年05月26日 18時33分 (#3822104)

    トレンドマイクロのはウイルスソフトだって未だに認知が進んでいないのか。
    抱き合わせやお安くしますよに騙されて導入する団体が多くて心配になるよな。

    ここに返信
    • by Anonymous Coward

      抱き合わせは経験したことが無いので意見を控えますが
      他製品でも構成によってはTM製より安い
      発注元が何にも考えないで指定しているのが多いと感じます

      以前地方のSIerと話したときにVBCは指定品だから入れておいて
      他製品でウィルス対策していると聞いたことがあります

      Windows PC上でVBCと他ソフトを混用すると起動不能になるとか
      とんでもない障害を体験しているのでたぶんネットワーク上での
      保護をしていたんだと想像します

      仕切りが安いとかも無いし運用上苦労する(パッチもまともに当たらない等)TM製品を
      ベンダーが推奨する理由がわかりません

    • by Anonymous Coward

      それだけ上司に安心感を与える効果が高いということかもしれない

      # 中身はともかく

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...