Microsoft ha recentemente bloccato l'esecuzione di un kernel driver di Trend Micro in Windows 10 e l'azienda di sicurezza informatica ha rimosso il download del rootkit detector che sfruttava tale driver dal proprio sito. La causa? Un codice in grado di simulare un comportamento conforme agli standard dei test QA di Microsoft in fase di certificazione, per poi modificare il proprio comportamento sui computer degli utenti.
Il software tmcomm.sys di Trend Micro è stato aggiunto da Microsoft alla lista di driver bannati dall'esecuzione su Windows 10 causando il blocco del funzionamento di Rootkit Buster, programma per la rilevazione di malware rootkit dell'azienda giapponese, e di altri prodotti software della casa.
A scoprire il blocco è stato l'esperto di Windows Internals Alex Ionescu che stava investigando sulle recenti ricerche di Bill Demirkapi riguardo proprio a Rootkit Buster di Trend Micro: a quanto pare, non solo il codice del driver in questione risultava poco sicuro ma cercava di individuare la presenza dei software di test QA Microsoft per modificare il proprio comportamento e risultare conforme alle regole per ricevere la certificazione WHQL (Windows Hardware Quality Labs). Il superamento di questi test è di forte interesse per le aziende: se un driver soddisfa i requisiti può essere firmato digitalmente da Microsoft, risulta affidabile per Windows e potenzialmente può essere distribuito tramite Windows Update e simili.
Uno dei requisiti del test è che, per motivi di sicurezza, il driver utilizzi della memoria solo dal pool non eseguibile di RAM messa a disposizione dal sistema operativo. In questo modo si evita che gli exploit che tentano di eseguire codice dannoso iniettato nelle allocazioni di memoria di un driver attraverso delle vulnerabilità vengano sfruttati.
Se il driver Trend Micro rileva che è in esecuzione su un computer sottoposto a test WHQL, richiede l'allocamento della memoria da questo specifico pool non eseguibile come previsto. Tuttavia, se non rileva la presenza del software di verifica dei driver di Microsoft, attinge dal pool eseguibile non-paged meno sicuro, fatto che causerebbe il fallimento del test di certificazione. Non è chiaro il motivo per cui il software di Trend Micro faccia questo, è probabile che l'utilizzo del pool non eseguibile comporti dei bug all'interno del codice dell'azienda.
Tutte le versioni del driver tmcomm.sys fino alla 8.x sono al momento bloccate dall'esecuzione in Windows 10, motivo per cui è possibile che vecchi prodotti software di Trend Micro rilasciati prima del 2019 abbiano smesso di funzionare sul sistema operativo dell'azienda di Redmond. Se Trend Micro Antivirus+ 2018, Trend Micro Internet Security 2018, Trend Micro Maximum Security 2018 o Trend Micro Premium Security 2018 hanno smesso di funzionare sul vostro sistema, questa potrebbe essere la causa.
I prodotti Trend Micro più recenti non si appoggiano su tale driver o potrebbero disporre di una versione più recente in cui sono stati applicati i fix necessari e quindi stanno continuando ad essere eseguiti senza problemi.
I colleghi di The Register hanno provato a contattare l'azienda per delucidazioni riguardo a questo comportamento anomalo del driver. L'azienda non ha fornito una risposta precisa, tuttavia ha insistito affermando che "il team di Trend Micro non ha mai evitato di soddisfare i requisiti di certificazione". Demirkapi ha commentato la questione affermando:
"Trend Micro deve essere ritenuta responsabile del proprio codice estremamente discutibile. Trend Micro continua a negare le mie affermazioni secondo cui starebbero aggirando gli standard di certificazione di Microsoft, ma la loro mancanza di una spiegazione non fa che riaffermare la mia posizione. Le prove hanno dimostrato che Trend Micro ha progettato il driver per rilevare specificamente gli ambienti di test, compresa la piattaforma di test di Microsoft per la certificazione WHQL".
Alla ricerca di una suite di sicurezza completa per i vostri PC? Kaspersky Internet Security 2020, licenza di un anno per 3 dispositivi, è in sconto su Amazon.