安全專家Alex Ionescu發現,趨勢科技的安全產品Rootkit Buster一項驅動程式tmcomm.sys,被加入微軟Windows 10 20H1的驅動程式封鎖名單。巧合的是,The Register發現,趨勢科技近期也將產品從官網下架。

趨勢科技一項安全產品驅動程式,被發現在微軟認證測試時採取不誠實作法,而遭微軟列入封鎖名單,將不得安裝於Windows 10電腦上,不過趨勢科技否認有作弊行為。

安全專家Alex Ionescu昨(28)日發現,趨勢科技的安全產品Rootkit Buster一項驅動程式tmcomm.sys,被加入微軟Windows 10 20H1(即2004版)的驅動程式封鎖名單,這表示它被排除在最新版Windows 10更新,而且是20H1才將之封鎖。巧合的是,《The Register》發現,趨勢科技也在周末將產品從官網下架。

事情可能和安全研究人員Bill Demirkapi的一項發現有關。他發現,Rookit Buster的tmcomm.sys有違反微軟Windows硬體品質實驗室(Windows Hardware Quality Labs,WHQL)認證測試規範的行為。

通過認證測試要求的軟體可以獲得微軟簽章,並經由Windows Update部署到廣大用戶電腦上。這項測試對驅動程式的一項要求是,驅動程式只能從Windows的RAM非執行(non executable)非分頁集區(non-paged pool)呼叫記憶體資源,以免惡意程式碼注入到驅動程式記憶體被攻擊者執行。

Demirkapi發現趨勢科技的tmcomm.sys會偵測它跑的電腦是否顯示正在進行WHQL的測試軟體driver verifier。如果偵測到,它就會從非執行區呼叫資源,但如果沒偵測到這個軟體,就會從執行區的非分頁集區呼叫,這是違反微軟規定的。至於趨勢科技為什麼這麼做不得而知,研究人員猜測是因驅動程式無法符合微軟規定,但為了通過測試選而作弊。

趨勢科技否認有作弊行為,表示公司一向和微軟密切合作以確保通過嚴格的標準,不過並未說明其Rootkit Buster何以有偵測微軟測試套件的行為。至於何以驅動程式被Windows 10 20H1/2004封鎖,該公司表示是出於某個不相容問題。

趨勢科技並表示,包括Rootkit Buster在內的所有安全軟體都會正常運作。


Advertisement

更多 iThome相關內容