Microsoft забанила в Windows 10 драйвер антируткита Trend Micro

Microsoft забанила в Windows 10 драйвер антируткита Trend Micro

Microsoft блокирует запуск драйвера Trend Micro в системах Windows 10. Из-за этого разработчик программного обеспечения для кибербезопасности вынужден был отозвать свой детектор руткитов, которому этот драйвер необходим для работы.

Речь идёт об утилите Rootkit Buster, которую Trend Micro недавно удалила со своего сайта.

Причиной стал драйвер уровня ядра tmcomm.sys, который выступает фактически «сердцем» Rootkit Buster. Оказалось, что Microsoft добавила tmcomm.sys в список запрещённых в Windows 10 драйверов, из-за чего защитная программа не могла запуститься в системе.

Как отметил в Twitter исследователь в области кибербезопасности Алекс Йонеску, проблемный драйвер мешал QA-тестам (Quality assurance, управление качеством процесса) Microsoft.

Действия техногиганта из Редмонда можно объяснить отчётом другого специалиста — Билла Демиркапи, который в своём блоге описал поведение драйвера tmcomm.sys. Оказалось, что софт пытался обманным путём пройти тест Windows Hardware Quality Labs (WHQL).

Дело в том, что соответствие WHQL открывает для программы большие возможности: она может получить цифровую подпись от Microsoft, полное доверие системы WIndows и даже распространяться и обновляться через Windows Update.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Процессоры Intel, ARM, IBM, AMD уязвимы перед новыми формами атак

Судя по всему, выявленная ранее причина существования атак спекулятивного выполнения (например, Meltdown и Foreshadow) на современные процессоры оказалась не совсем верна. В результате производители CPU выпустили не совсем корректные патчи.

Такой позиции придерживаются специалисты Грацского технического университета и Центра информационной безопасности имени Гельмгольца. Они же рассказали о настоящей, по их мнению, причине появления уязвимостей.

В отчёте (PDF) эксперты привели несколько новых похожих векторов атак, в которых используется ранее незамеченная проблема безопасности. Задействовав эту лазейку в реальной атаке, злоумышленник сможет извлечь конфиденциальные данные.

По словам исследователей, подобные атаки вызваны разыменованием регистров пользовательского пространства в ядре. Это значит, что брешь затрагивает не только выпущенные недавно процессоры Intel, но и CPU от ARM, IBM и AMD.

«Мы выяснили, что описываемые за последнее время проблемы не в полной мере отражали картину. В результате это вылилось в принятие не совсем корректных контрмер», — объясняют специалисты.

Что касается новых форм атак, то исследователи просто усилили знаменитый вектор Foreshadow, который с их помощью теперь может атаковать не только L1-данные. В отчёте демонстрируется такая атака на процессоры Intel.

Причём от эксплуатации бага не убережёт даже рекомендованные производителем настройки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru