Double KO! Capcom's Street Fighter V installs hidden rootkit on PCs • The Register
カプコンのPC版ストリートファイター5のアップデートで、チート防止機能の実装に、rootkitが含まれている問題。
PC版ストリートファイター5のアップデートに含まれているカーネルドライバー、capcom.sysは、IOCTLでサービスを提供する。その挙動は、まずSMEPを無効にし、呼び出し元の指定したポインターの参照するユーザーモードのアドレス空間上のコードを実行し、SMEPを再び有効にする。
とんでもない脆弱性で、ユーザーモードからカーネルモードでの任意のコード実行を可能にするので、rootkitに分類できる。
Supervisor Mode Execution Protection(SMEP)とは、カーネルモードからユーザーモードに割り当てられたアドレス空間のコードの実行を防ぐCPUの保護機能。
この実装者がヤクでもキメていたかのようなイカれた挙動は、ストリートファイター5でメモリ書き換えのチートを防止する機能のために使われているようだ。
カーネルドライバーを実装できるほどMSのドキュメントを辛抱強く読める能力を有したプログラマーが、この挙動がいかにヤバイものであるかを認識できないというのはにわかに信じられないのだが、一体どうなっているのだろう。
なお、カプコンは公式Twitterアカウントで近いうちに修正を出すと発言している。
We apologize for the inconvenience and will have an update on the time-frame for the PC rollback solution soon.
— Street Fighter (@StreetFighter) September 23, 2016
不自由なドキュメントを読みすぎて精神を病んだんだな
ReplyDeleteもしかして: https://cpplover.blogspot.jp/2009/09/oldnewthing.html
ReplyDeleteWindowsを十分に信頼できないと仮定すると、なんて「使える」ドライバだろう
ReplyDeletecapcomかどっかが署名してるんでしょ?(黒い笑み
持ってる人はキープしとくべき。CRLに出したりはしないとおもうし。
カーネルモードで任意のコードを実行できるドライバがあればカーネルモードで任意のコードが実行できる!やったぜ!
ReplyDeleteなおセキュリティ対策ソフトは見逃してくれない模様
無名のオープンソースライブラリを公開している者ですが、まさに同じようなドライバを$200で作ってくれない? というメールを米国の会社から受け取って速攻で迷惑メール送りにした覚えがあります。そういう仕事を引き受けちゃう人も世の中にはいるんだろうなあ。
ReplyDelete
ReplyDeleteDefinitely, what a fantastic website and revealing posts,
I definitely will bookmark your site.Have an awsome day!
x
Click here to chceck my blog :: 오피
(freaky)