パスワードを忘れた? アカウント作成
15461378 story
マイクロソフト

Microsoft の署名入りルートキット、また見つかる 27

ストーリー by headless
署名 部門より
Microsoft の WHQL で署名されたルートキット (ドライバー) 「FiveSys」が見つかり、発見者の Bitdefender が報告している (Bitdefenderのブログ記事ホワイトペーパーNeowin の記事)。

FiveSys は中国のゲームプレイヤーをターゲットにしており、1 年以上前から活動しているとみられる。ルートキットの動作としてはプロキシを使用してインターネットトラフィックをリダイレクトし、認証情報の窃取やゲーム内購入のハイジャックを狙うというものだ。

6 月にも同様のルートキット「Netfilter」が見つかっているが、Bitdefender によればこのようなルートキットは増加しているという。その理由として、x64 ベースの Windows ではカーネルモードのドライバーに Microsoft の署名が必須な点が挙げられる。FiveSys や Netfilter の作者は Microsoft のチェックを迂回して署名を取得したとみられ、署名はユーザーに正規のソフトウェアだと信じさせる効果もあるとのことだ。
  • by Anonymous Coward on 2021年10月24日 14時10分 (#4138722)

    OSより下で動くUEFIルートキットを作って、OSからも検出できなくするしか無い

    ここに返信
  • by Anonymous Coward on 2021年10月24日 14時19分 (#4138725)

    APIにプロキシ挟むならまだしも、経路途中で通信盗んだところでSSLかかってるから認証情報もってけないでしょ。

    ここに返信
    • by Anonymous Coward

      中国はSSL使用に申請許可がいるらしい(許可されたところで検閲リスクは消えない)ので、その辺りを狙ったのかもしれませんね

    • by Anonymous Coward

      root取ってるなら自前のルート証明書を入れさせてしまえば良い。
      後はプロキシ側で偽の証明書を動的に生成するだけ。

    • by Anonymous Coward

      デバイスドライバはカーネルと同格で動くので、SSLの暗号鍵を一緒に盗み出すことも不可能ではない
      だからこそデバイスドライバに書名必須としたのに、審査がザルでは単に面倒くさくなっただけでしかない。

      • by Anonymous Coward

        >暗号鍵を一緒に盗み出す
        わざわざそんなめんどくさいことしなくても、非対称暗号鍵方式のSSLならroot証明書を入れてしまえば済む話。

      • 自前の串にオレオレ証明書を使ってるらしいから、暗号化前の平文が読めるんじゃね?

          redirection works for both HTTP and HTTPS; the rootkit installs a custom root certificate for HTTPS redirection to work.

    • by Anonymous Coward

      話理解できないなら、無理してコメント書かなくていいのに。

    • by Anonymous Coward

      > the rootkit installs a custom root certificate for HTTPS redirection to work.
      分かる人にとってはばればれな方法だけどSSL回避できる

  • by Anonymous Coward on 2021年10月24日 14時28分 (#4138727)

    つまり、あと4年で世界は少し安全になるんだね

    ここに返信
    • by Anonymous Coward

      あと20年はXPで頑張るぞ!

    • by Anonymous Coward

      個人で(無償~低ランニングコストで)署名を得るのは難しくなったけど、組織犯罪上等のフェーズに移行しつつあるということでもある

      • by Anonymous Coward

        >組織犯罪上等のフェーズ
        企業だったり国だったり。。
        対抗するには攻撃力(物理)持たないともうダメなんですかねえ。

      • by Anonymous Coward

        そうなると64bitで証明書必須にした意味崩壊するから、証明書ナシでも使えるようにして欲しい…

        • by Anonymous Coward

          今回のような情報抜き取りだとドライバーインストールできるぐらいの権限あるならドライバー使わなくてもできるし、そもそも脆弱性利用して署名のチェックをスキップする手法が確立されてるから意味ないんだけどね。署名必須化なんて単なる嫌がらせ

      • by Anonymous Coward

        > FiveSys や Netfilter の作者は Microsoft のチェックを迂回して署名を取得したとみられ

        これとどうつながるんだろう

  • by Anonymous Coward on 2021年10月24日 18時25分 (#4138794)

    事務手続きが通れば発行されちまうんだから仕方ねぇった感じだ

    ここに返信
  • by Anonymous Coward on 2021年10月24日 20時21分 (#4138841)

    一つ潰すと二つ不具合が増える。

    ここに返信
    • by Anonymous Coward

      お前の食ってるワカメ、ウキクサか何か?

      • by Anonymous Coward

        ホテイアオイかもしれない。

        • by Anonymous Coward

          いいえ、Windowsのバグです。

          • by Anonymous Coward

            増えるワカメじゃねえのか?

          • by Anonymous Coward

            いいえ、Windowsのバグです。

            ケフィア並みに唐突だな。

            • by Anonymous Coward

              > ケフィア並みに唐突だな。
               
              四六時中Microsoftのことを考えてる人なら、自然なことですよ。

        • by Anonymous Coward

          エアーチャーム好きそう

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...