Windows Defenderのウイルススキャン迂回問題、セキュリティ企業が公表
CyberArkによると、Microsoftの「Windows Defender」によるウイルススキャンの仕組みを突いて、マルウェアがWindows Defenderを迂回できてしまう問題があるという。
セキュリティ企業CyberArkは2017年9月28日、MicrosoftのWindowsに実装されているセキュリティ機能「Windows Defender」をかわすことができてしまう問題を発見したと発表した。他のウイルス対策製品にも同じ問題が存在する可能性もあるとしている。
CyberArkの研究チームは、Windows Defenderでファイルをスキャンするプロセスに不審な挙動を発見し、SMB共有を介したウイルススキャンのプロセスを調べたところ、今回の問題を発見した。
同社のブログによると、ほとんどのウイルス対策製品では、ユーザーが実行可能ファイルを実行すると、カーネルコールバックによってその動作を検出してファイルをスキャンする。
しかし実行可能ファイルが既にディスクに存在していた場合、ファイル作成の段階で既にスキャンされていることから、プロセス作成過程でのスキャンは実行されない。ところがSMB共有経由の実行可能ファイルを実行する場合、プロセス作成の過程でもファイルのスキャンが行われるという。
CyberArkではこの仕組みを突いて、マルウェアにWindows Defenderを迂回させることができたと説明している。Windows Defenderをかわすためには、攻撃者がSMBプロトコルを実装して、Windows Defenderのリクエストを通常のリクエストと区別できる「疑似サーバ」を作成する必要がある。そうすることによってスキャンが失敗し、悪質なファイルを妨げられることなく実行させることが可能だという。
MicrosoftはCyberArkの報告に対し、「これはセキュリティ問題ではなく、機能リクエストだと思われる」と返答しているという。
関連記事
- Microsoftのマルウェア対策エンジンにまた新たな脆弱性、更新プログラムで対処
攻撃者が不正なファイルをWebサイトに仕込んだり、電子メールなどで送り付けたりする手口を使ってマルウェア対策エンジンにスキャンさせれば、システムを制御することも可能とされる。 - Microsoft、マルウェア対策エンジンの重大な脆弱性を修正
MicrosoftがGoogleの研究者が「最悪」と評していたWindowsの脆弱(ぜいじゃく)性を修正した。同社が月例セキュリティ更新プログラム公開の前日にこうした対応を取るのは極めて異例。 - Windows 10の脆弱性情報に最大2700万円、Microsoftが新たな報奨金制度
リモートコード実行など、ユーザーのプライバシーやセキュリティを脅かすWindowsの脆弱(ぜいじゃく)性について、500ドル〜25万ドルの報奨金を支払う。 - MicrosoftがWindows 10から乗り出すサイバー攻撃対策とは?
Microsoftはセキュリティ機能の「Windows Defender」を進化させた「Windows Defender Advanced Threat Protection」を次のWindows 10に盛り込む予定だ。進化版はどんなセキュリティ対策を可能にするのか。 - ゼロデイ攻撃も防ぐ? Edgeブラウザのセキュリティ新機能
Windows 10の次のアップデートには、Edgeブラウザのセキュリティを高める「Windows Defender Application Guard for Microsoft Edge」が搭載される見込みだ。この機能はどのようなものだろう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.