マイクロソフトはウィルスバスターでおなじみのトレンドマイクロ製ドライバーをBANしたようです。この大きなWindows 10のセキュリティの戦いは表面化はしていませんが、裏では戦いになっているようです。
品質保証テストを偽証していた
セキュリティ研究者Bill Demirkapiはトレンドマイクロが開発したWindows 10用ドライバーがマイクロソフトの品質保証テストに失敗していることに気づきました。トレンドマイクロのRootkitBusterでは、ウィンドウズの隠しファイル、レジストリ、プロセス、ドライバ、MBRをスキャンすることで、問題のあるソフトをスキャン出来るとトレンドマイクロはアピールしていました。しかしDemirkapi氏によるとRootkitBusteerの脆弱性を使うことで逆にルートキットをインストール出来ることを発見しています。Demirkapi氏は米国ロチェスター工科大学の18才の学生で、DEF CONにて既にこれについての研究論文を発表しています。Demirkapi氏によると、トレンドマイクロはRootkitBusterがメモリ割り当ての変更する方法を悪用し、tmcomm.sysを使用するMicrosoft Windows ハードウェアクオリティLabs(WHQL)認定テストを不正に合格していたようです。RookitBusterを悪用した場合、攻撃者は管理者権限のアクセスが可能になります。
現在はブロック済み
マイクロソフトは現在トレンドマイクロのTmcomm.sysをWindows 10で実行するのをブロックしています。またトレンドマイクロはドライバーの配布を休止しているようです。
I've tried to validate @BillDemirkapi's research and was greeted with the following message:
Error code: (NTSTATUS) 0xc000036b (3221226347) - Driver %2 has been blocked from loading.
I took a deeper look: see the 20H1 SDB. Well done @msftsecurity for banning these drivers! https://t.co/Fcud1gkY8b pic.twitter.com/WZTUqE991n
— Alex Ionescu (@aionescu) May 27, 2020
[st-card-ex url="https://androidrookies.com/microsoft-vs-trend-micro-microsoft-blocks-trend-micros-drivers/" target="_blank" rel="nofollow" label="" name="" bgcolor="" color="" readmore="続きを見る"]
--
