Microsoft đã chặn việc thực thi trình điều khiển Trend Micro trong Windows 10 và Trend đã rút các bản tải xuống từ trình phát hiện rootkit sử dụng trình điều khiển, sau khi mã này xuất hiện để đánh lừa các bài kiểm tra QC của Redmond.
Cuối tuần trước, Trend đã gỡ bỏ các bản tải xuống Rootkit Buster khỏi trang web của mình. Và đêm qua, trình điều khiển cấp kernel đã xuất hiện ở trung tâm của phần mềm, tmcomm.sys đã được thêm vào danh sách các trình điều khiển Windows 10 bị cấm, ngăn không cho nó tải và Rootkit Buster chạy.
Chuyên gia về Windows nội bộ Alex Ionescu đã phát hiện ra sự cố và đánh dấu nó trên Twitter, trong khi điều tra một cuộc điều tra của sinh viên bảo mật máy tính Bill Demirkapi đã tiết lộ không chỉ những thiếu sót trong mã trình điều khiển, mà còn là một nỗ lực để
phát hiện bộ kiểm tra QA của Microsoft.
"Microsoft Security đã hoàn thành tốt việc cấm các trình điều khiển này", Ionescu nói, lưu ý rằng ngay cả phiên bản 8.x của tmcomm.sys hiện đã được tung ra trong Windows 10.
Điều này xảy ra sau khi Demirkapi, như chúng tôi đã báo cáo tuần trước, đã phát hiện ra rằng tmcomm.sys đã can thiệp vào cách phân bổ bộ nhớ để vượt qua các bài kiểm tra chứng nhận Microsoft Windows Quality Quality Labs (WHQL).
Vượt qua các thử nghiệm này là rất mong muốn: Nếu trình điều khiển đáp ứng các yêu cầu, Microsoft có thể ký điện tử, Windows được tin cậy và có khả năng có thể được phân phối thông qua Windows Update và các cơ chế tương
Một trong những yêu cầu là, vì lý do bảo mật, bộ điều khiển chỉ yêu cầu bộ nhớ từ nhóm RAM không thể thực thi được phân trang có sẵn từ hệ điều hành. Bằng cách này, các lỗ hổng cố gắng thực thi mã độc được đưa vào phân bổ bộ nhớ của bộ điều khiển thông qua lỗ hổng bị cản trở.
Nếu trình điều khiển Trend Micro phát hiện ra rằng nó đang chạy trên máy tính đang trải qua thử nghiệm WHQL, nó sẽ nhắc nhóm này không thể thực thi cụ thể như mong đợi. Tuy nhiên, nếu bạn không phát hiện ra sự hiện diện của phần mềm
xác minh trình điều khiển của Microsoft dựa trên nhóm thực thi không phân trang, không an toàn và có thể khiến bài kiểm tra chứng nhận không thành công. Không rõ tại sao phần mềm của Trend làm điều này; Có thể là do việc sử dụng các nhóm không thể thực thi gây ra lỗi trong mã của bạn.
Lặn sâu
Cơ quan đăng ký đã xác minh phát hiện của Demirkapi bằng cách thiết kế ngược mã trình điều khiển, cụ thể là phiên bản 7.0.0.1160 được gửi cùng với Rootkit Buster.
Theo mặc định, đặt biến thành 0x18005aa4ccero. Biến này chứa loại nhóm: zero là nhóm thực thi không phân trang. Biến này được truyền cho kernel mỗi khi bộ điều khiển cấp phát bộ nhớ. Do đó, bộ điều khiển mặc định cho nhóm thực thi không phân trang, sẽ không vượt qua bài kiểm tra chứng nhận.
Hàm IsVerifierCodeCheckFlagOn () của 0x180030b23 kiểm soát giá trị của khóa đăng ký ConfirmDriverLevel, cho biết liệu kiểm tra chứng chỉ trình điều khiển của Microsoft có đang chạy hay không. Nếu nó không thể phát hiện trình xác minh, nó sẽ trả về giá trị 0.
Sau đó, 0x180035efa, vi, trình điều khiển sẽ kiểm tra xem liệu nó có đang chạy trên Windows 10 trở lên hay không và nếu IsVerifierCodeCheckFlagOn () trả về kết quả khác không, có nghĩa là trình kiểm tra đã được phát hiện. Nếu nó được phát hiện và chúng tôi đang ở trên Windows 10 trở lên,
biến loại nhóm được thay đổi thành 512 (0x200), đây là định danh của nhóm không thực thi được phân trang. Do đó, tất cả các bài tập tiếp theo được thực hiện từ nhóm không thể thực thi, còn được gọi là NonPagedPoolNx, như mong đợi của người xác minh.
Mặt khác, trình điều khiển tiếp tục sử dụng giá trị mặc định của nó: nhóm thực thi không phân trang, trái với quy tắc của Microsoft.
Chúng tôi lưu ý rằng mặc dù trình điều khiển xuất hiện trên các sản phẩm Trend Micro khác, nhưng chúng có thể không nhất thiết phải sử dụng các phiên bản trình điều khiển bị cấm hoặc chúng có thể đã nhận được bản sửa lỗi và do đó sẽ tiếp tục hoạt động trên Windows 10. Các sản phẩm của Trend Micro Cũ: Ra mắt trước năm 2019 - có thể được ngăn chặn chạy do sự cố trình điều khiển. Nếu Trend Micro Antivirus + 2018, Trend Micro Internet Security 2018, Trend Micro Maximum Security 2018 hoặc Trend Micro Premium Security 2018 đột nhiên ngừng hoạt động trong Windows 10, đây có lẽ là lý do.
Trend Micro đã bỏ qua các yêu cầu lặp đi lặp lại của chúng tôi để giải thích lý do tại sao phần mềm của nó thay đổi chức năng cụ thể trong quá trình thử nghiệm, mặc dù họ khẳng định rằng "không có lúc nào nhóm Trend Micro tránh các yêu cầu chứng nhận." Người phát ngôn của Trend không có bình luận ngay lập tức về quyết định cấm tài xế của Microsoft trong Windows 10.
'Một vấn đề bảo mật cấp trung bình có thể xảy ra'
Trước cuối tuần trước và sau khi chúng tôi nhận thấy phần mềm Rootkit Buster đã biến mất khỏi trang web của mình, một phát ngôn viên của Trend đã nói với chúng tôi rằng họ đã gỡ bỏ sản phẩm sau khi phát hiện ra lỗ hổng không xác định: "Trong khi điều tra khiếu nại trên blog [từ Demirkapi], nhóm phát triển của chúng tôi đã xác định một phương tiện tiềm năng bảo mật cấp cao và chúng tôi đang nỗ lực để đảm bảo rằng nó được giải quyết đúng cách và nhanh chóng. Để phòng ngừa, chúng tôi đã xóa phiên bản hiện tại của công cụ khỏi trang web của chúng tôi trong khi đánh giá và sửa lỗi.
"Liên quan đến cáo buộc rằng Trend Micro đang cố gắng bỏ qua quy trình chứng nhận của Microsoft, chúng tôi muốn làm rõ rằng đây không phải là trường hợp và chúng tôi đang hợp tác chặt chẽ với các đối tác của chúng tôi tại Microsoft để đảm bảo rằng mã của chúng tôi đáp ứng các tiêu chuẩn nghiêm ngặt của họ." .
Điều đó cho thấy Trend Micro không có ý định bỏ qua các biện pháp kiểm soát chứng nhận của Microsoft. Tuy nhiên, Demirkapi và những con kền kền khiêm tốn của anh ta vẫn gặp khó khăn về bất kỳ lời giải thích hợp lý nào về lý do tại sao Rootkit Buster sẽ cần mã phát hiện WHQL này ngay từ đầu, ngay cả cho mục đích thử nghiệm hoặc gỡ lỗi.
"Thật không hợp lý khi họ thêm mã bổ sung và cố gắng hết sức để xác minh mã đó", Demirkapi nói với Đăng ký. "Tại sao không sử dụng NonPagedPoolNx mọi lúc cho các hệ thống hỗ trợ nó? Không có lý do để suy nghĩ.
"Trend Micro phải chịu trách nhiệm về mã cực kỳ đáng nghi ngờ của mình. Trend Micro tiếp tục phủ nhận tuyên bố của tôi rằng họ đang vi phạm các tiêu chuẩn chứng nhận của Microsoft, nhưng việc họ không giải thích chỉ khẳng định vị trí của tôi. Bằng chứng đã chỉ ra rằng Trend Micro đã thiết kế bộ điều khiển của nó đặc biệt phát hiện các môi trường thử nghiệm, bao gồm cả nền tảng thử nghiệm riêng của Microsoft để chứng nhận WHQL. "
Nguồn-ingenieria inversa
dịch bởi google xin lỗi nếu có lỗi
