更新されたマイクロソフトは、コードがレドモンドのQAテストを不正に操作したと思われたことを受けて、トレンドマイクロのドライバーがWindows 10上で実行されるのをブロックしました。また、トレンドマイクロは、このドライバーを使用するルートキット検出ツールのダウンロードを撤回しました。
先週末、トレンドマイクロは自社ウェブサイトからルートキットバスターのダウンロードを削除しました。そして昨夜、このソフトウェアの中核を成すカーネルレベルのドライバがtmcomm.sysWindows 10 20H1のブロック対象ドライバリストに追加され、ルートキットバスターの読み込みと実行がブロックされたことが明らかになりました。
Windows の内部構造の第一人者であり、CrowdStrike の副社長でもある Alex Ionescu 氏は、コンピューター セキュリティを専攻する学部生 Bill Demirkapi 氏の研究を調査している最中にこの封鎖を発見し、Twitter で強調しました。この研究では、ドライバーのコードの欠陥だけでなく、Microsoft の QA テスト スイートを検出しようとする試みも明らかになりました。
先週お伝えしたように、Demirkapi はtmcomm.sysMicrosoft の Windows Hardware Quality Labs (WHQL) 認定テストに合格するためにメモリの割り当て方法を変更していたことが判明しました。
これらのテストに合格することは非常に望ましいことです。ドライバーがグレードを満たしていれば、Microsoft によるデジタル署名が可能になり、Windows によって信頼され、Windows Update や同様のメカニズムを通じて配布できる可能性があります。
テック界のフォルクスワーゲン?トレンドマイクロ、テストスイートを検出してマイクロソフトのドライバー品質保証を不正に操作したと非難される
続きを読む
要件の一つは、セキュリティ上の理由から、ドライバーがメモリを要求する際に、オペレーティングシステムの実行不可かつ非ページ化されている利用可能なRAMプールのみを使用することです。これにより、脆弱性を利用してドライバーのメモリに注入された悪意のあるコードを実行しようとするエクスプロイトを阻止できます。
トレンドマイクロのドライバは、WHQLテスト中のコンピュータ上で実行されていることを検出すると、想定どおりにこの特定の非実行可能プールからリソースを要求します。しかし、Microsoftのドライバ検証ソフトウェアの存在を検出しない場合は、非ページ化実行可能プールからリソースを取得します。これは安全ではなく、認証テストに不合格となる可能性があります。トレンドマイクロのソフトウェアがなぜこのような動作をするのかは明らかではありませんが、非実行可能プールの使用がコード内のバグを引き起こすためである可能性があります。
深掘り
The Register は、ドライバー コード、具体的には Rootkit Buster に同梱されているバージョン 7.0.0.1160 をリバース エンジニアリングして、Demirkapi の調査結果を検証しました。
デフォルトでは、変数 at が0x18005aa4cゼロに設定されます。この変数はプールの種類を保持しており、ゼロは実行可能非ページプールです。この変数は、ドライバがメモリを割り当てるたびにカーネルに渡されます。そのため、ドライバはデフォルトで実行可能非ページプールからメモリを割り当てますが、これは認証テストに不合格となります。
関数IsVerifierCodeCheckFlagOn()at は、0x180030b23レジストリキー の値をチェックしますVerifyDriverLevel。この値は、Microsoft のドライバー認定テストが実行されているかどうかを示します。検証ツールを検出できない場合は、値 0 を返します。
次に、 で0x180035efaドライバーはWindows 10以降で実行されているかどうかを確認し、 がIsVerifierCodeCheckFlagOn()0以外の結果を返す場合、つまり検証ツールが検出されたことを意味します。検証ツールが検出され、Windows 10以降を使用している場合、プールタイプ変数は512(0x200)に変更されます。これは、非実行可能で非ページプールの識別子です。したがって、以降のすべての割り当ては、検証ツールの期待どおりに、非実行可能プール( )から行われますNonPagedPoolNx。
それ以外の場合、ドライバーはデフォルトである実行可能非ページ プールを引き続き使用しますが、これは Microsoft の規則に違反します。
Hopper 氏によるドライバーのマシンコードから再構成された C 言語。Windows 10 以降のバージョンに対するチェックと、検証ツールの検出呼び出しを示しています。成功した場合、ドライバーのプールタイプを 0x200(512)に変更します。これは非実行可能プールです。デフォルトでは、実行可能プールが使用されます… クリックして拡大
このドライバーは他のトレンドマイクロ製品にも表示されますが、現在ブロックされているドライバーが必ずしも使用されているとは限らず、適切なホットフィックスが提供されている場合もあるため、Windows 10 20H1 でも引き続き動作する可能性があります。
トレンドマイクロは、テスト中にソフトウェアの動作が変更された理由について、繰り返し説明を求めたが、無視し続けている。しかし同社は、「トレンドマイクロのチームが認証要件を回避したことはない」と主張している。Windows 10でこのドライバをブロックする動きについて、トレンドマイクロの広報担当者はすぐにコメントを得られなかった。
「潜在的な中レベルのセキュリティ問題」
週末前、Rootkit Busterソフトウェアがウェブサイトから消えたことに気づいた後、トレンドマイクロの広報担当者は、未確認の脆弱性を発見したため製品を削除したと発表しました。「[Demirkapi氏の]ブログでの主張を調査した結果、当社の開発チームは中程度のセキュリティ問題の可能性を発見し、適切かつ迅速に解決できるよう取り組んでいます。万全を期すため、評価と修正を行う間、現在のバージョンのツールをウェブサイトから削除しました。」
私たちは、マイクロソフトのパートナーと緊密に協力し、コードが彼らの厳格な基準に準拠していることを確認しています。
「トレンドマイクロが何らかの方法でマイクロソフトの認証プロセスを回避しようとしているとの主張については、これは事実ではなく、当社のコードがマイクロソフトの厳格な基準に準拠していることを保証するためにマイクロソフトのパートナーと緊密に協力していることを改めて明確にしたいと思います。」
これは、トレンドマイクロがマイクロソフトの認証チェックを故意に回避しようとしたわけではないことを示唆しています。しかし、Demirkapi氏をはじめとする謙虚なハゲタカどもは、そもそもルートキットバスターがテストやデバッグ目的であっても、なぜこのWHQL検出コードを必要としたのか、いまだに理解に苦しみます。
「わざわざ余分なコードを追加して、わざわざそれをチェックするなんて、全く意味が分かりません」とデミルカピ氏はThe Registerに語った。「NonPagedPoolNxをサポートするシステムなら、なぜ常にNonPagedPoolNxを使わないのでしょうか? 私には思い当たりません。」
トレンドマイクロは、極めて疑わしいコードに対して責任を負うべきです。トレンドマイクロは、マイクロソフトの認証基準を不正に違反しているという私の主張を否定し続けていますが、説明がないことは私の立場を改めて裏付けるものです。証拠は、トレンドマイクロが、マイクロソフト独自のWHQL認証試験プラットフォームを含む試験環境を特に検知するようにドライバを設計したことを示しています。®
追加更新
トレンドマイクロの広報担当者は、「トレンドマイクロはいかなるテストも不正に操作していない」と改めて強調したが、ドライバコードがWindows認証スイートの存在を検出した理由については説明を拒否した。
また、トレンドマイクロはマイクロソフトに対し、「互換性テスト」を理由に、最新バージョンのWindows 10、つまり2020年5月のアップデート(20H1)でこのドライバーをブロックするよう要請したとも述べた。
「マイクロソフトの措置はトレンドマイクロからの要請によるもので、同社とは一切関係がありません」と広報担当者は述べた。「トレンドマイクロは、次期Windows 10メジャーアップデートに向けた社内互換性テストのために、今回のブロックを要請しました。」
トレンドマイクロは、販売終了となったルートキットバスターを除く他の顧客保護ソフトウェアは引き続き動作すると保証しました。また、サブヘッドラインで示唆したように、この騒動がスキャンダルであるという主張には反論しました。「マイクロソフトとトレンドマイクロは非常に緊密に連携しています」とトレンドマイクロの広報担当者は述べています。
トレンドマイクロの主張について、マイクロソフトに確認を求めました。また、トレンドマイクロとマイクロソフトは、ワグナー・エドストロム・コミュニケーションズという同じ大手PR会社を傘下に持っています。トレンドマイクロとマイクロソフトのチームは完全に別個のチームであることを、マイクロソフトは間違いなく私たちに思い出させてくれるでしょう。
Chris Williams によるリバース エンジニアリング。
