Google Project Zeroの研究者がWindows Defenderのバグを発見

Google Project Zeroのセキュリティ研究者が、Windows DefenderがRARアーカイブファイルをスキャンする方法を悪用する方法を発見しました。このバグはすべてのWindowsバージョンに存在します。

Windows DefenderのUnRARバグ

Project Zeroの研究者であるThomas Dullien氏は、Windows Defenderのmpengine.dllを調査した結果、RARアーカイブファイルの処理を担当するコードがオープンソースのUnRARソフトウェアの改変版に基づいていることを発見しました。Microsoftのフォークは、5年以上前のUnRAR 4.2.4と同等かそれ以前のバージョンのようです。

Dullien 氏によると、Microsoft によるコードの変更により、すべての符号付き変数が符号なし変数に変更され、攻撃者がホスト オペレーティング システムを悪用できる重大なメモリ破損の脆弱性が導入されたという。

Windows Defenderのバグは、2012年版のUnRARのバグに関連しているようです。このバグは、Microsoftが自社のウイルス対策エンジンに移植した際に修正されなかった可能性があります。同じバグは、古いUnRARのコードが統合されている他のサードパーティ製ソフトウェアにも影響を与える可能性があります。

昨年、Dullien氏はUnRARで発見されたバグについてRAR Labsの開発者に警告し、RAR開発者はUnRARバージョン5.5.5でこの問題を修正しました。しかし、Microsoftは古いバージョンのUnRARを使い続けていたため、同社のアンチウイルスソフトは影響を受けたままでした。

Windows Defenderユーザーはアップデートが必要

2012年からUnRARのバグを知っていた攻撃者は、これまでずっとWindowsユーザーを攻撃していた可能性があります。Windows Defenderのリアルタイム保護を有効にしているユーザーは、特別に細工されたWebページやメールの添付ファイル、クラウドホストのファイルを介して攻撃を受ける可能性がありました。

マイクロソフトは、ユーザーに最新のWindowsアップデートが適用されていることを確認するよう勧告しました。Microsoft Malware Protection Engineのバージョンは1.1.13704.0以降である必要があります。