セキュリティ企業CyberArkによると、Microsoftの「Windows Defender」によるウイルススキャンの仕組みを突いて、
マルウェアがWindows Defenderを迂回できてしまう問題があるという・・・・
ウイルススキャンを迂回されてしまうのであれば、セキュリティーソフトとしては致命的ですが・・・・
ただ、この問題、他のウイルス対策製品にも同じ問題が存在する可能性もあるといわれています。
Windows Defenderで、なぜウイルススキャンを迂回されてしまうのか
ほとんどの、ウイルス対策ソフトでは、実行可能ファイルをユーザーが実行すると、
カーネルコールバックによって動作を検知してファイルをスキャンします。
しかし、実行可能ファイルが既にディスクに存在していた場合、ファイル作成の段階で、既にスキャンしていることから、
プロセス作成過程でスキャンを実行しない。
でも、SMB共有経由の実行可能ファイルを実行する場合は、プロセル作成の過程でもファイルのスキャンが行われる。
なんだかよくわかりません・・・・(>人<;)
が、CyberArkではこの仕組みを突いて、マルウェアにWindows Defenderを迂回させることができたと説明しています。
Windows Defenderをかわすためには、
攻撃者がSMBプロトコルを実装して、
Windows Defenderのリクエストを通常のリクエストと区別できる「疑似サーバ」を作成する必要がある。
そうすることによってスキャンが失敗し、
悪質なファイルを妨げられることなく実行させることが可能だという。
やっぱりなんのことかよくわかりません・・・・(>人<;)
MicrosoftはCyberArkの報告に対し、「これはセキュリティ問題ではなく、機能リクエストだと思われる」と返答しているという。
とにかく、まだ可能性があるってだけで、致命的欠陥というわけではなさそうだ。
