【コラム】

ITセキュリティのアライ出し

23 Vistaのカーネルモードドライバへのコード署名要件にかかる問題のまとめ(1)

 

23/47

Linchpin Labs & OSRが公開した「Atsiv("Vista"を逆にしたものと思われる)」に関するBlog投稿を米Symantecが現地時間の7月27日に行っている。64ビット版のWindows Vistaの標準セキュリティ機構を迂回するこのツールに端を発した一連のカーネルドライバの問題の状況についてここにまとめるものとする。

64ビットバージョンのVista(Vista x64)には、カーネルモードドライバをインストールする際には、コード署名がなされていなければならないという要件が実装されている。この理由は主にカーネルモードで動作するルートキットを排除したいというマイクロソフト側の狙いが含まれている(Windows Vista And Windows Server Codename "Longhorn" Security Enhancements)。よって、AdministratorであってもVista x64においては未署名のドライバをロードさせることは不可能であることになる。

一方、Vista x64にかかるデバイスドライバへのコード署名要件の迂回については、実は2006年にも指摘されている。Vistaの発売は2007年の1月30日であったので、ベータ版(実際のところは「リリース候補(RC)1」にも存在した)に関する指摘が行われたというのが実際のところである。はじめに、この点について述べておきたい。

現Invisible Things LabのCEOであるJoanna Rutkowska女史がSyScan'06ならびにBlackHat USA 2006で講演した内容の一部がそれにあたる。ページファイル、すなわち物理メモリにマップしきれなくなったデータをHDD上に払い出す(スワップ)際に作成されるファイルを上手に利用することがこの「ページファイルアタック」の原理である。理解のためにページファイルアタックの手順を簡単に整理すると以下のようになる。

  1. (VirtualAlloc( )APIを使用するなどして)特定のプロセスに対し大量のメモリを割り当てる
  2. その結果、システムはスワップを実行し、最終的に使用されていないドライバのコードもページファイルとして払い出される
  3. ページファイルとして払い出されたドライバのコードを書き換える
  4. ページファイルを物理メモリに復帰させてコードを実行させ、最終的に未署名のドライバを読み込ませる

このような手順を踏むことで、ベータ版Vista x64におけるデバイスドライバへのコード署名要件の迂回を実現したというわけである。一方、Microsoftはこのような事態を受けてか、Vista RC2以降ではユーザーモードで動作するアプリケーションから、ハードディスクの低レベルセクタへの書き込みアクセスを遮断するような変更が行われている。これはAdministrator権限で動作するアプリケーションであっても同様の制限が設けられていることになる。このような動作変更に関して、Rutkowska女史は「ディスクエディタのようなアプリケーションは動作不全を引き起こすだろうし、そもそも根本的解決策ではない」と自身のBlogで指摘している

このように、Vista x64のカーネルモードドライバへのコード署名要件は、製品として市場に投入される前に一度、迂回された歴史があることになる。これに加えて、今回のAtsivの出現とあっては、同じ話題が再燃したと見る向きもなくはないだろう。

Atsivの実行画面

23/47

インデックス

連載目次
第47回 今年で7回目の開催になる日本的なCTFを見学してみた
第46回 EAF出撃す
第45回 再会、EMET
第44回 世界のカンファレンスの景色から - RECON その6
第43回 世界のカンファレンスの景色から - RECON その5
第42回 世界のカンファレンスの景色から - RECON その4
第41回 世界のカンファレンスの景色から - RECON その3
第40回 世界のカンファレンスの景色から - RECON その2
第39回 世界のカンファレンスの景色から - RECON その1
第38回 Adobe Flash PlayerおよびReaderのゼロディ脆弱性を分析する その2
第37回 Adobe Flash PlayerおよびReaderのゼロディ脆弱性を分析する
第36回 続・EMET - メモリアドレスを攻撃者より先に確保せよ
第35回 久々登場! "アライ出し・再生"の一発目はWindowsセキュリティ
第34回 実在するマルウェアのホスティングサービス - 迷惑メールとマルウェア(3)
第33回 感染先の選り好みをするマルウェア - 迷惑メールとマルウェア(2)
第32回 難読化するマルウェア - 迷惑メールとマルウェア(1)
第31回 ボットネットの観測方法をさらに詳しく分析する(2) - Krakenの狙いとは
第30回 ボットネットの観測方法をさらに詳しく分析する(1) - Obfuscationの実際
第29回 Kraken騒動とボットネット観測方法への賛否両論
第28回 マルウェア作成キットの歴史~過去から現在へ(下) - Pinchが作った量産体制
第27回 マルウェア作成キットの歴史~過去から現在へ(中) - Agobotが現れた!
第26回 マルウェア作成キットの歴史~過去から現在へ(上) - VCLからクルニコワまで
第25回 iPhoneの解析が進行中 - "Black Hat Japan 2007"見聞録
第24回 Vistaのカーネルモードドライバへのコード署名要件にかかる問題のまとめ(2)
第23回 Vistaのカーネルモードドライバへのコード署名要件にかかる問題のまとめ(1)
第22回 Windowsにおけるバッファオーバーフロー(6)
第21回 ウイルス分析合宿中につき…「世界のホシザワにしごかれるの巻」
第20回 Windowsにおけるバッファオーバーフロー(5)
第19回 2006年を振り返る
第18回 Windowsにおけるバッファオーバーフロー(4)
第17回 Windowsにおけるバッファオーバーフロー(3)
第16回 Windowsにおけるバッファオーバーフロー(2)
第15回 Windowsにおけるバッファオーバーフロー(1)
第14回 検索エンジンと情報セキュリティ(2)
第13回 検索エンジンと情報セキュリティ(1)
第12回 PoCの内側 - Heap Spray(2)
第11回 PoCの内側 - Heap Spray(1)
第10回 標的型攻撃に関する一考察(7) - 対策とまとめ
第9回 標的型攻撃に関する一考察(6) - 脆弱性発見手法の進化(後編)
第8回 標的型攻撃に関する一考察(5) - 脆弱性発見手法の進化(中編)
第7回 標的型攻撃に関する一考察(4) - 脆弱性発見手法の進化(前編)
第6回 標的型攻撃に関する一考察(3) - 関連資料から探る脅威の実像(後編)
第5回 標的型攻撃に関する一考察(2) - 関連資料から探る脅威の実像(前編)
第4回 標的型攻撃に関する一考察(1) - 0-day Exploit利用形の頻発
第3回 コンピュータウイルスの過去・現在・未来(2) ウイルスに寄生するウイルス
第2回 コンピュータウイルスの過去・現在・未来(1) ウイルスの捕食-被食関係
第1回 統計から読み取るRootkitとボットの関係

もっと見る



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

TVアニメ『orange』が映画化! 『orange -未来-』が11/18より2週間限定公開
[00:00 9/27] ホビー
[パトレイバー]後藤隊長カレンダーが「月刊!スピリッツ」付録に 「みんなで幸せになろうよ」
[00:00 9/27] ホビー
[にゃんこデイズ]テレビアニメ化決定 擬人化したネコと人見知りの少女の日常描いた4コママンガ
[00:00 9/27] ホビー
Googleお役立ちテクニック - 資料作りがサクサク進む「リサーチ」ツールを使いこなそう
[00:00 9/27] パソコン
「まんが極道」から10年、作家の悲哀を描き続けた「まんが家総進撃」最終巻
[23:33 9/26] ホビー

求人情報