Letiltotta a Microsoft a Trend Micro egyik driverét, amit a japán cég rootkit-felismerője, a Rootkit Buster használt Windows 10 alatt – írta a The Register. Egy ideje nem is lehet letölteni a rootkit-detektáló programot a Trend Micro oldaláról (május 27-i állapot szerint), miközben program ismertető oldala még felkínálja a Download gombot.

Úgy működik, mint a VW dízelmotor-okosítója

Először egy független biztonsági kutató, Bill Demirkapi vette észre és publikálta az oldalán, hogy a Trend Micro drivere nagyjából úgy működik, mint a Volkswagen "felokosított" szoftvere, amely a dízelmotorok emisszióját igazította a környezethez: ha tesztpadon mérték, megfelelt az értéknek, ha valós körülmények között használták az autót, akkor túllépte a határértéket, hogy nagyobb legyen a motor teljesítménye.

A Trend Micro drivere hasonlóan kezelte a rendelkezésére álló memóriát, állítja Demirkapi. A kódját úgy írták meg, hogy figyelje fut-e a Windows 10-en minőségbiztosítási (QA) szoftver, amely ellenőrzi, hogy egy driver milyen memóriát használ. Ha fut QA a gépen, akkor a program is a szabályoknak megfelelően, csak olyan memóriát használ, amit a Microsoft Windows Hardware Quality Labs engedélyez. Ha azonban nem folyik tesztelés, akkor olyan memóriaterületre is beköltözik, amire elvileg tilos lenne.

A teszt teljesítése feltétele annak, hogy egy megoldás megkapja a Microsoft megbízhatósági tanúsítványát, és belekerüljön például a Windows Update mechanizmusba. Ennek során azt ellenőrzik többek között, hogy a driver csak az ún. nem lapozható memóriapoolból nem végrehajtható memóriát allokál magának. Hogy a driver csak azt használhatja, alapvetően biztonsági okai vannak. Azért tiltják a lapozható memóriához való hozzáférést, hogy így is csökkentsék egy esetleges rosszindulatú kód beinjektálásának esélyét, ha a driverben biztonsági rés van.

Senki nem érti, miért

Arra, hogy a Trend Micro drivere miért kerüli meg ezt a tiltást, egyelőre nincs magyarázat. A feltételezés az, hogy a nem végrehajtható memória használata valamilyen hibát idézhet elő a driver kódjában.

A felhasználók mindebből annyit érzékelnek, hogy bizonyos Trend Micro-termék, melyek a kitiltott drivert használják, nem indulnak el, vagy nem működnek megfelelően. A The Register szerint a Rootkit Buster mellett a driver letiltása elsősorban a régebbi Trend Micro-termékek működésére lehet hatással. Ha valaki az Antivirus+ 2018, az Internet Security 2018, a Maximum Security 2018 vagy Premium Security 2018 hirtelen leállását tapasztalja Windows 10-en, akkor a lap szerint amögött valószínűleg ez a driverprobléma áll.

A Trend Micro azt hangsúlyozta a lapnak, hogy soha nem kerülte meg a tanúsítási követelményeket. Mint a lapnak küldött közleményükben írják, szorosan együttműködnek a Microsofttal, hogy kódjuk megfeleljen a redmondi gyártó szigorú szabványainak. Ugyanakkor – hívja fel a figyelmet a The Register, a cég nem cáfolta, hogy a Microsoft vizsgálja az adott drivert.

Még az sem lehetetlen, hogy a japán biztonsági cég igazat mond, és egy kényelmes programozó olyan magánakciójáról van szó, amivel saját munkáját könnyítette meg egy memóriakezelési probléma megoldásakor. A Rootkit Buster eltávolítását a cég azzal magyarázta, hogy azonosítatlan sebezhetőség felfedezése miatt vették le, amit akkor fedeztek fel, amikor Demirkapi állításait vizsgálták.