「Windowsドライバの脆弱性を突く攻撃に注意せよ」、米ISSの専門家が警告
「Windowsのセキュリティで今後警戒すべきなのは、ドライバの脆弱性をついた攻撃だ」。米インターネット・セキュリティ・システムズ(ISS)のインターネット上の脆弱性研究機関「X-ForceR」のエンジニアであるデビッド・メイナー氏はこのように話す。
xtech.nikkei.com
ちょっと前の記事だけど。デバドラのセキュリティを突くっていうのはスキルさえあればできるかもしれない。
IOCTLとかIRPとかを正規の物と偽装してデバドラに投げればいいわけだし、カーネルデバッガとか使えばどのデバドラがハードとどういう通信をしてるかってのは根気よく解析すればわかるだろうし。そうすると、たとえばハードとかと何か秘匿性の高いデータ通信をしていてもそれを乗っ取られるとか(フィルタドライバ入れて…)ってのはあながちあり得ない話しではないかも。
じゃあ開発者側はどうすればいいんだろ。デバドラのセキュリティなんて資料はほとんど存在しないし、IRPとかの偽装を検知するために何ができるか…。安直に考えるとデータを暗号化するか、何か識別子を埋め込んでおくとかそういうことになるのかなぁ…。
あとは自分のドライバの上位下位のデバイスオブジェクトが想定した正規のドライバか判定する…ってこれは環境依存しそうだから難しいか。
ウイルススキャンのソフトも、ファイルシステムドライバの上位レイヤにフィルタドライバとしてスキャンエンジンを組み込むことで、ファイルを読み書きする際のデータを全てスキャンできてるわけだし、近ごろ話題になったソニーの音楽CDのrootkit騒ぎもフィルタドライバ(CD-ROMドライブのアクセスに対しての)だったはず。
だからそういうのをこっそりシステムに入れることができるとデータなんて筒抜けなのよね…。そう考えるとドライバって扱いがかなり難しいけど、けっこうクリティカルなプログラムなんだよな。
