パスワードを忘れた? アカウント作成
15207469 story
マイクロソフト

Microsoftのマルウェア対策エンジンに12年以上前から存在した脆弱性 31

ストーリー by nagazou
脆弱性 部門より
headless 曰く、

Microsoftが2月の月例更新でMicrosoft Defenderのマルウェア対策エンジン「Microsoft Malware Protection Engine」で発見された脆弱性CVE-2021-24092を修正している(セキュリティ更新プログラムガイドSentinelLabsのブログ記事HackReadの記事)。

Microsoftのセキュリティ更新プログラムガイドでは特権昇格の脆弱性とのみ説明されているが、発見したSentinelLabsによれば権限なしに任意ファイルを上書き可能な脆弱性だという。

Microsoft Malware Protection Engineは内部名BTR.sysというドライバーをランダムなファイル名で読み込んでマルウェア削除などの修復処理を実行する。この際にログファイル「BootClean.log」をシステムのTempディレクトリーに生成するのだが、既に同名のファイルが存在する場合はファイルが実体なのかハードリンクなのかを確認せずに削除して新しいログファイルを作成してしまうそうだ。これにより、攻撃者はBootClean.logという名前のハードリンクを作成することで任意ファイルを上書き可能となる。この脆弱性を任意コードの実行に悪用するのは困難だが、不可能ではないとのこと。

この脆弱性がいつ導入されたのかは不明だが、SentinelLabsがVirusTotalにアップロードされたファイルを検索したところ、遅くとも2009年には脆弱性が存在していたそうだ。SentinelLabsでは長年にわたって脆弱性が発見されずにいた理由として、ドライバーファイルが常時存在せず、必要な場合のみランダムなファイル名で読み込まれる点を指摘する。

脆弱性はマルウェア対策エンジンのバージョン1.1.17800.5で修正されている。Windows 10でバージョンを確認するには「Windowsセキュリティ」を開き、「設定」で「バージョン情報」をクリックして「エンジンのバージョン」を確認すればいい。この脆弱性が実際の攻撃で使われている形跡はなく、自動更新が有効になっていれば既に修正済みのはずだが、確認しておくといいだろう。

  • 恐ろしい話だ (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2021年02月16日 20時43分 (#3979119)

    Microsoft Defenderが導入されるようになってもう十二年以上も経ってただなんて!

    ここに返信
    • by Anonymous Coward

      いや、マジでそれ

      年取ったなー。。。

    • by Anonymous Coward

      「お前らが想像する12年前のiMac」と「実際のiMac」とか
      「12年前のアニメのタイトル」とか
      怖い話がたくさん

      • by Anonymous Coward
        >お前らが想像する12年前のiMac
        おにぎりみたいな丸い筐体で半透明の青緑色のやつに決まってるでしょ何言ってんのさ
  • by Anonymous Coward on 2021年02月16日 15時14分 (#3978858)

    ブートローダーのハードリンクをBootClean.logという名前で作成しておけば
    ブートローダーが破壊できるぐらいで
    たいして悪いことはできない脆弱性ですね。放置で良いと思います

    ここに返信
    • by Anonymous Coward on 2021年02月16日 15時55分 (#3978891)

      修正が困難なものならトレードオフで放置も選択肢に入るけど困難じゃないなら直すに越したことないだろ。
      単体では大したこと出来ない脆弱性でも合わせ技で大したこと出来るようになる例も珍しくないんだし。

    • by Anonymous Coward

      ファイルを壊せるのは十分悪いことだよ。
      タスクスケジューラに登録しておけば好きなときに起動できなくしたり、毎日ちょっとずつ重要書類が失われたり。

  • へー。どうやるんだろう(リンク先読んでない)。

    セキュリティ界隈のテクニックはすごいね…。

    ここに返信
    • by Anonymous Coward

      リンク先読んだが、具体的には書いてないな。
      これ自体でなにかするというより、これを利用してセキュリティソフトウェアを停止させたりするのに使えるよ、程度のことっぽい。

      Using such a vulnerability to run code is often more tricky but not impossible; certain primitives are needed to be utilized, but this can still be used for various malicious activities such as disabling security products.

    • by Anonymous Coward

      こういうのはアレだろ、科学でいう基礎研究みたいなもんなんじゃねーの
      将来別の不具合が見つかって、それとうまいことしたら
      とんでもないことになるかもしれない

  • by Anonymous Coward on 2021年02月16日 15時33分 (#3978875)

    >この脆弱性がいつ導入されたのかは不明だが、

    この書き方だと意図的に脆弱性を仕込んだ様に感じる…

    ここに返信
    • by Anonymous Coward

      まあまあよく見る表現だろ
      #3978858といい、こと不具合の話題になると
      ことさら矮小化したり突飛な悪意を見出したり
      誹謗に対抗するような態度で臨むのはやめろ
      阿呆ユーザを装ったアンチみたいで甚だ不快だわ

      • by Anonymous Coward

        バグを 導入(introduction)は語義を見れば間違いなのは自明だろ。
        詭弁未満の屁理屈だぞそれ。

  • by Anonymous Coward on 2021年02月16日 16時22分 (#3978920)

    Windowsって一般ユーザーでハードリンク作れるんでしたっけ?
    管理権限が必要ならすでに突破されていないと突けない脆弱性に思えるんだが

    ここに返信
    • by Anonymous Coward on 2021年02月16日 17時01分 (#3978946)

      ハードリンクは誰でも作れる。ってか、作れなければファイルを作成することすらできん。

      管理者権限が必要なのはシンボリックリンク。UNIX系では攻撃に使われることもあるので
      安全策を取ったんだろうが使い勝手が悪すぎてレガシーなJUNCTIONが廃れない。

  • by Anonymous Coward on 2021年02月16日 18時37分 (#3979017)

    〇〇な脆弱性が長期に渡って見つからない
    がニュースであって、今回の様なクリチカルなセキュリティーホールライクなバグはニュースではない。

    ここに返信
    • by Anonymous Coward on 2021年02月16日 18時45分 (#3979023)

      そうかな?🤔

      • macOS、パスワードのヒントボタンを押すと、パスワードを表示する脆弱性
      • 最新Macに「誰でもログインできる」バグ
      • アップル最新OSに重大バグ パスワードなしで管理者ログイン
      • 「キーチェーン」の全パスワード盗まれる恐れ macOSの未解決の脆弱性
      • Apple史上最悪のセキュリティバグか、iOSとOS Xに危険すぎる脆弱性
      • iiPhoneなどの旧モデルに「修正不能」な脆弱性
      • またも、macOSにどんなパスワードでも通るバグ発見
      • Apple、macOSでメールが解読されてしまう脆弱性
      • iOSのメール機能、受信するだけで悪意あるコードが実行される脆弱性
      • 特定の文字列受信でAppleのOSをクラッシュさせるバグまた見つかる
      • macOS アップデート後に「大容量ファイル転送中にクラッシュ」等の報告相次ぐ
      • macOS、修正した重大な脆弱性が「復活」するバグ
      • iOS 13とmacOS Catalinaはなぜバグが多いのか。元アップルエンジニアが語る6つの理由
      • 「macOS」でまたパスワード迂回の不具合
      • macOSに新バグ発見。イメージキャプチャで写真を取込むとサイズ膨張
      • iOS、macOSで“致命的バグ”連発
      • macOS、パスワード盗まれるゼロデイ脆弱性の指摘
      • macOS暗号化メールの一部が平文保存されるバグ発見
  • by Anonymous Coward on 2021年02月16日 19時06分 (#3979038)

    Tempフォルダーに軽くlog出力したい→重複したらどうしよう→とりあえず削除するか、のノリ。
    ファイルをずらす方が無難だけど溜まっても困るし。
    ランダムなファイル名で云々するのも、やった記憶はないが見たことある。
    で忘れられて放置されると。
    Tempフォルダー内のファイル削除するだけでもセキュリティ的にはダメなのね。

    ここに返信
  • by Anonymous Coward on 2021年02月17日 0時40分 (#3979276)

    ハードリンクを削除して新しいログファイルを作ったら、元のファイルのリンクカウントが1減ってログファイルは普通に作られるだけじゃないの?
    どうしてリンク元のファイルが書き変えられるの?

    ここに返信
    • by Anonymous Coward

      正確にはfopenのw+とかの、開いた時に中身を空にする(≒削除)設定でファイルを開いてる。
      削除というよりはクリアとした方が通じたと思う。

      ハードリンクだから、そんな設定で開いた瞬間に中身は空になってしまって、ログが書き込まれるので壊れる。

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...