Windows Defender のリモートコード実行の脆弱性 (悪意のある .rar ファイルによって PC 上でマルウェアを実行するために悪用される可能性のある欠陥) の原因が、Microsoft が自社用に採用したオープンソースのアーカイブ ツールにあることが判明しました。
このバグ(CVE-2018-0986)は、Windows Defender、Security Essentials、Exchange Server、Forefront Endpoint Protection、Intune Endpoint Protection の最新バージョンの Microsoft Malware Protection Engine(1.1.14700.5)で火曜日に修正されました。この更新プログラムはインストール済み、または既にデバイスに自動的にインストールされている可能性があります。
この脆弱性を悪用した攻撃者は、マルウェア対策エンジンのスキャン機能がオンになっている状態で、ウェブページやメールなどを介して標的に細工された.rarファイルをダウンロードさせるだけで、被害者のマシン上でリモートコード実行を実行できます。多くの場合、この分析は自動的に実行されるように設定されています。
マイクロソフトの1月と2月のWindows 7メルトダウン修正により、PCのセキュリティがさらに低下
続きを読む
マルウェア エンジンが悪意のあるアーカイブをスキャンすると、メモリ破損のバグがトリガーされ、強力な LocalSystem 権限を使用してファイル内に密かに隠された悪質なコードが実行され、コンピューターの完全な制御が可能になります。
この脆弱性は、現在Googleに勤務する伝説的なセキュリティ研究者、ハルバー・フレーク氏によって発見され、Microsoftに報告されました。フレーク氏は、この脆弱性が.rarアーカイブの解凍に使用されるオープンソースのアーカイブユーティリティであるunrarの旧バージョンにまで遡ることに成功しました。
どうやら、Microsoftはunrarのバージョンをフォークし、そのコンポーネントを自社のOSのウイルス対策エンジンに組み込んだようです。フォークされたコードはその後、すべての符号付き整数変数が符号なし変数に変換されるように変更され、数学的な比較において連鎖的な問題を引き起こしました。その結果、ソフトウェアはメモリ破損エラーに対して脆弱になり、ウイルス対策パッケージがクラッシュしたり、悪意のあるコードが実行されたりする可能性があります。
言い換えれば、レドモンドはフォークとボークをやったということになる。
このバグに驚嘆した人の中には、フレーク氏の同僚である Google 研究者のタヴィス・オーマンディ氏もいた。
これはすごいですね。Windows Defenderはオープンソースのunrarコードを使用していましたが、何らかの理由ですべての符号付き整数を符号なし整数に変更してしまい、コードが壊れていました。@halvarflakeが気づいて修正してくれました。リモートシステムメモリ破損です😨 https://t.co/gsx9ZMk1Hz
— テイビス・オーマンディ (@taviso) 2018年4月4日
言うまでもなく、ユーザーと管理者は、Windows Defender とマルウェア保護エンジンのコピーをできるだけ早く更新する必要があります。®
