MS検証ツールにゼロデイ脆弱性、セキュリティ対策ソフトの制御奪取に悪用可能
また脆弱性の影響を受ける製品について具体的に言及。「Avast(CVE-2017-5567)」「AVG(CVE-2017-5566)」「Avira(CVE-2017-6417)」「Bitdefender(CVE-2017-6186)」「Trend Micro(CVE-2017-5565)」「Comodo」「ESET」「F-Secure」「Kaspersky」「Malwarebytes」「McAfee」「Panda」「Norton」など実名を挙げ、これら製品が影響を受けると主張した。
実証コード(PoC)にくわえ、「Nortonアンチウイルス」「Aviraアンチウイルス」「Comodoアンチウイルス」へコードを挿入し、実際に制御を奪うデモ動画を公開。脆弱性については、すでに各ベンダーへ報告したとしている。
同社は今回の問題について、Microsoftがセキュリティ対策製品をコード注入より保護する機能「Protected Processes」を、「Windows 8.1」「Windows Server 2012 R2」より提供しているものの、活用されていないと指摘。
同機能ではコード署名を利用して、セキュリティ対策ソフトのプロセスを保護できるが、同社の調査では同機能を利用するセキュリティ製品は「Windows Defender」のみだったという。
(Security NEXT - 2017/03/23 )
ツイート
PR
関連記事
「WatchGuard Firebox」のVPN機能に深刻なRCE脆弱性
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
セイコーSOL製IoT向け一部ルータに脆弱性 - 修正予定なし
コンテナ管理ツール「Rancher」に脆弱性 - アップデートを公開
「NVIDIA Container Toolkit」に権限昇格の脆弱性 - 「GPU Operator」も影響
マルウェア対策ソフト「ClamAV」に複数脆弱性 - Cisco製品にも影響
「Firefox」にメモリ破壊の脆弱性 - 任意コード実行のおそれ
「Cisco Unified CM」のSSRF脆弱性、悪用に注意
「macOS Tahoe 26.5.2」公開 - 脆弱性37件を修正
「IBM Db2」に深刻な脆弱性 - 暫定的な修正を提供

