古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

Windows Defenderのウイルススキャン迂回問題、セキュリティ企業が公表

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/09/29 07:30
Windows Defenderのウイルススキャン迂回問題、セキュリティ企業が公表: MicrosoftはCyberArkの報告に対し、「これはセキュリティ問題ではなく、機能リクエストだと思われる」と返答 © ITmedia エンタープライズ 提供 MicrosoftはCyberArkの報告に対し、「これはセキュリティ問題ではなく、機能リクエストだと思われる」と返答

 セキュリティ企業CyberArkは2017年9月28日、MicrosoftのWindowsに実装されているセキュリティ機能「Windows Defender」をかわすことができてしまう問題を発見したと発表した。他のウイルス対策製品にも同じ問題が存在する可能性もあるとしている。

 CyberArkの研究チームは、Windows Defenderでファイルをスキャンするプロセスに不審な挙動を発見し、SMB共有を介したウイルススキャンのプロセスを調べたところ、今回の問題を発見した。

 同社のブログによると、ほとんどのウイルス対策製品では、ユーザーが実行可能ファイルを実行すると、カーネルコールバックによってその動作を検出してファイルをスキャンする。

 しかし実行可能ファイルが既にディスクに存在していた場合、ファイル作成の段階で既にスキャンされていることから、プロセス作成過程でのスキャンは実行されない。ところがSMB共有経由の実行可能ファイルを実行する場合、プロセス作成の過程でもファイルのスキャンが行われるという。

 CyberArkではこの仕組みを突いて、マルウェアにWindows Defenderを迂回させることができたと説明している。Windows Defenderをかわすためには、攻撃者がSMBプロトコルを実装して、Windows Defenderのリクエストを通常のリクエストと区別できる「疑似サーバ」を作成する必要がある。そうすることによってスキャンが失敗し、悪質なファイルを妨げられることなく実行させることが可能だという。

 MicrosoftはCyberArkの報告に対し、「これはセキュリティ問題ではなく、機能リクエストだと思われる」と返答しているという。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon