Microsoftのマルウェア対策エンジンに12年以上前から存在した脆弱性 31
脆弱性 部門より
Microsoftが2月の月例更新でMicrosoft Defenderのマルウェア対策エンジン「Microsoft Malware Protection Engine」で発見された脆弱性CVE-2021-24092を修正している(セキュリティ更新プログラムガイド、 SentinelLabsのブログ記事、 HackReadの記事)。
Microsoftのセキュリティ更新プログラムガイドでは特権昇格の脆弱性とのみ説明されているが、発見したSentinelLabsによれば権限なしに任意ファイルを上書き可能な脆弱性だという。
Microsoft Malware Protection Engineは内部名BTR.sysというドライバーをランダムなファイル名で読み込んでマルウェア削除などの修復処理を実行する。この際にログファイル「BootClean.log」をシステムのTempディレクトリーに生成するのだが、既に同名のファイルが存在する場合はファイルが実体なのかハードリンクなのかを確認せずに削除して新しいログファイルを作成してしまうそうだ。これにより、攻撃者はBootClean.logという名前のハードリンクを作成することで任意ファイルを上書き可能となる。この脆弱性を任意コードの実行に悪用するのは困難だが、不可能ではないとのこと。
この脆弱性がいつ導入されたのかは不明だが、SentinelLabsがVirusTotalにアップロードされたファイルを検索したところ、遅くとも2009年には脆弱性が存在していたそうだ。SentinelLabsでは長年にわたって脆弱性が発見されずにいた理由として、ドライバーファイルが常時存在せず、必要な場合のみランダムなファイル名で読み込まれる点を指摘する。
脆弱性はマルウェア対策エンジンのバージョン1.1.17800.5で修正されている。Windows 10でバージョンを確認するには「Windowsセキュリティ」を開き、「設定」で「バージョン情報」をクリックして「エンジンのバージョン」を確認すればいい。この脆弱性が実際の攻撃で使われている形跡はなく、自動更新が有効になっていれば既に修正済みのはずだが、確認しておくといいだろう。
恐ろしい話だ (スコア:3, おもしろおかしい)
Microsoft Defenderが導入されるようになってもう十二年以上も経ってただなんて!
Re: (スコア:0)
いや、マジでそれ
年取ったなー。。。
Re: (スコア:0)
「お前らが想像する12年前のiMac」と「実際のiMac」とか
「12年前のアニメのタイトル」とか
怖い話がたくさん
Re: (スコア:0)
おにぎりみたいな丸い筐体で半透明の青緑色のやつに決まってるでしょ何言ってんのさ
実害ないのでは? (スコア:0)
ブートローダーのハードリンクをBootClean.logという名前で作成しておけば
ブートローダーが破壊できるぐらいで
たいして悪いことはできない脆弱性ですね。放置で良いと思います
Re:実害ないのでは? (スコア:1)
修正が困難なものならトレードオフで放置も選択肢に入るけど困難じゃないなら直すに越したことないだろ。
単体では大したこと出来ない脆弱性でも合わせ技で大したこと出来るようになる例も珍しくないんだし。
Re: (スコア:0)
ファイルを壊せるのは十分悪いことだよ。
タスクスケジューラに登録しておけば好きなときに起動できなくしたり、毎日ちょっとずつ重要書類が失われたり。
この脆弱性を任意コードの実行に悪用するのは困難だが、不可能ではないとのこと。 (スコア:0)
へー。どうやるんだろう(リンク先読んでない)。
セキュリティ界隈のテクニックはすごいね…。
Re: (スコア:0)
リンク先読んだが、具体的には書いてないな。
これ自体でなにかするというより、これを利用してセキュリティソフトウェアを停止させたりするのに使えるよ、程度のことっぽい。
Using such a vulnerability to run code is often more tricky but not impossible; certain primitives are needed to be utilized, but this can still be used for various malicious activities such as disabling security products.
Re: (スコア:0)
こういうのはアレだろ、科学でいう基礎研究みたいなもんなんじゃねーの
将来別の不具合が見つかって、それとうまいことしたら
とんでもないことになるかもしれない
導入? (スコア:0)
>この脆弱性がいつ導入されたのかは不明だが、
この書き方だと意図的に脆弱性を仕込んだ様に感じる…
Re: (スコア:0)
まあまあよく見る表現だろ
#3978858といい、こと不具合の話題になると
ことさら矮小化したり突飛な悪意を見出したり
誹謗に対抗するような態度で臨むのはやめろ
阿呆ユーザを装ったアンチみたいで甚だ不快だわ
Re: (スコア:0)
バグを 導入(introduction)は語義を見れば間違いなのは自明だろ。
詭弁未満の屁理屈だぞそれ。
あれ? (スコア:0)
Windowsって一般ユーザーでハードリンク作れるんでしたっけ?
管理権限が必要ならすでに突破されていないと突けない脆弱性に思えるんだが
Re:あれ? (スコア:1)
ハードリンクは誰でも作れる。ってか、作れなければファイルを作成することすらできん。
管理者権限が必要なのはシンボリックリンク。UNIX系では攻撃に使われることもあるので
安全策を取ったんだろうが使い勝手が悪すぎてレガシーなJUNCTIONが廃れない。
マ社のプロダクトならば (スコア:0)
〇〇な脆弱性が長期に渡って見つからない
がニュースであって、今回の様なクリチカルなセキュリティーホールライクなバグはニュースではない。
Re:マ社のプロダクトならば (スコア:1)
そうかな?🤔
Re: (スコア:0)
なぜ、Appleのプロダクトを出してくるの?
WindowsをmacOSを比較するなんて、プリウスとフィットを比較する様なもんだよ。
Re: (スコア:0)
>なぜ、Appleのプロダクトを出してくるの?
Linuxにはこんな世界はないからなぁ。
Re:マ社のプロダクトならば (スコア:1)
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される [it.srad.jp]
sudoに10年近く前から存在した脆弱性が修正される [security.srad.jp]
Re: (スコア:0)
Linuxも酷いもんだよ
Re: (スコア:0)
4年前のニュースをいまでもコピペする荒らしにプラスモデするアホがいるスラド
https://srad.jp/comment/3973969 [srad.jp]
Re: (スコア:0)
Appleの真実を知られたくない信者が必死に火消しwww
気持ちは分かる (スコア:0)
Tempフォルダーに軽くlog出力したい→重複したらどうしよう→とりあえず削除するか、のノリ。
ファイルをずらす方が無難だけど溜まっても困るし。
ランダムなファイル名で云々するのも、やった記憶はないが見たことある。
で忘れられて放置されると。
Tempフォルダー内のファイル削除するだけでもセキュリティ的にはダメなのね。
Re:気持ちは分かる (スコア:1)
自分の管理下にないフォルダを使うこと自体がある程度リスク。
テンポラリは、NT系でユーザー毎になったし、UWPだとアプリに毎に隔離された。
攻撃的にはUNIXでは古典の域。
シンボリックリンクの悪用 [ipa.go.jp]
テンポラリファイルを介したシンボリックリンクアタック [ipa.go.jp]
Re: (スコア:0)
System.IO.Path.GetRandomFileName
質問 (スコア:0)
ハードリンクを削除して新しいログファイルを作ったら、元のファイルのリンクカウントが1減ってログファイルは普通に作られるだけじゃないの?
どうしてリンク元のファイルが書き変えられるの?
Re: (スコア:0)
正確にはfopenのw+とかの、開いた時に中身を空にする(≒削除)設定でファイルを開いてる。
削除というよりはクリアとした方が通じたと思う。
ハードリンクだから、そんな設定で開いた瞬間に中身は空になってしまって、ログが書き込まれるので壊れる。
Re: (スコア:0)
同じ職場にいたらつらいだろうな、こういう人。