2021年02月17日
権限なしに任意ファイルを上書き可能な脆弱性
2月の月例更新でMicrosoft Defenderのマルウェア対策エンジン「Microsoft Malware Protection Engine」の脆弱性が修正された。
いままで、権限なしに任意ファイルを上書き可能な脆弱性があったのだ。
Microsoft Defender を更新しよう。
Microsoft Malware Protection Engineは内部名BTR.sysというドライバーをランダムなファイル名で読み込んでマルウェア削除などの修復処理を実行する。この際にログファイル「BootClean.log」をシステムのTempディレクトリーに生成するのだが、既に同名のファイルが存在する場合はファイルが実体なのかハードリンクなのかを確認せずに削除して新しいログファイルを作成してしまうそうだ。これにより、攻撃者はBootClean.logという名前のハードリンクを作成することで任意ファイルを上書き可能となる。この脆弱性を任意コードの実行に悪用するのは困難だが、不可能ではないとのこと。
この脆弱性がいつ導入されたのかは不明だが、SentinelLabsがVirusTotalにアップロードされたファイルを検索したところ、遅くとも2009年には脆弱性が存在していたそうだ。SentinelLabsでは長年にわたって脆弱性が発見されずにいた理由として、ドライバーファイルが常時存在せず、必要な場合のみランダムなファイル名で読み込まれる点を指摘する。
博多はつ花のボランティア修理担当が社長のブログをお借りして、発言させていただきました。
接待用高級食材の博多 はつ花 の商品はちょっと高級な、無農薬、無人工甘味料、無添加物を食材に使っています。
いままで、権限なしに任意ファイルを上書き可能な脆弱性があったのだ。
Microsoft Defender を更新しよう。
Microsoft Malware Protection Engineは内部名BTR.sysというドライバーをランダムなファイル名で読み込んでマルウェア削除などの修復処理を実行する。この際にログファイル「BootClean.log」をシステムのTempディレクトリーに生成するのだが、既に同名のファイルが存在する場合はファイルが実体なのかハードリンクなのかを確認せずに削除して新しいログファイルを作成してしまうそうだ。これにより、攻撃者はBootClean.logという名前のハードリンクを作成することで任意ファイルを上書き可能となる。この脆弱性を任意コードの実行に悪用するのは困難だが、不可能ではないとのこと。
この脆弱性がいつ導入されたのかは不明だが、SentinelLabsがVirusTotalにアップロードされたファイルを検索したところ、遅くとも2009年には脆弱性が存在していたそうだ。SentinelLabsでは長年にわたって脆弱性が発見されずにいた理由として、ドライバーファイルが常時存在せず、必要な場合のみランダムなファイル名で読み込まれる点を指摘する。
博多はつ花のボランティア修理担当が社長のブログをお借りして、発言させていただきました。
接待用高級食材の博多 はつ花 の商品はちょっと高級な、無農薬、無人工甘味料、無添加物を食材に使っています。
接待用高級食材専門店
Any comments are welcome. Your comments are displayed after permission.
画像一覧 
