Windowsのマルウェア対策エンジンのバグ、2日で修正以外のバグも報告

headless曰く、　先日、Google Project ZeroがWindowsのマルウェア対策エンジンに「最悪」の脆弱性を発見し、Microsoftが2日で修正したことが話題となったが、報告されていた脆弱性はそれだけではなかったようだ（Issue 1260、Softpedia）。

　Issue 1260はマルウェア対策エンジンに搭載されているx86エミュレーターに関するもの。このエミュレーターはPE実行ファイルに見える不審なファイルを実行して確認するために使われるが、NT AUTHORITY\SYSTEMとして実行され、サンドボックス化されていない。Project ZeroのTavis Ormandy氏によれば、このエミュレーターがサポートするWin32 APIのntdll!NtControlChannelを使用すると、ioctlのようにエミュレートされたコードからエミュレーターを制御可能なのだという。

　このAPIのコマンド0x0CではMicrosoftの正規表現ライブラリGRETAに攻撃者の制御下にある正規表現をパースさせることが可能だ。GRETAは信頼できない正規表現を安全にパースできないことが知られており、マルウェア対策エンジンをクラッシュさせるPoCが公開されている。また、コマンド0x12では追加のマイクロコードを読み込んで演算コードを置き換えることが可能であり、ほかにもさまざまなコマンドに問題がみられるとのこと。

　この問題はMicrosoftが5月25日にリリースしたマルウェア対策エンジンバージョン1.1.13804.0で修正されたそうだ。このほか、バージョン1.1.13804.0ではIssue 1258（CVE-2017-8540）、Issue 1259（タレこみ時点では未公開）、Issue 1261（CVE-2017-8535、8536、8537、8538）なども修正されている。

　スラドのコメントを読む | ITセクション | Google | セキュリティ | マイクロソフト | スラッシュバック | バグ | Windows

　関連ストーリー：
Microsoft、Azureユーザー向けのWannaCrypt対策ガイダンスを公開 2017年05月20日
ランサムウェア「WannaCrypt」、大流行中 2017年05月15日
Googleが発見したWindowsのマルウェア対策エンジンのバグ、Microsoftが2日で修正 2017年05月13日