0 返信 最新の回答 日時: Sep 18, 2014 8:47 PM ユーザー:tkudo

    【TIPS】 VirusScan Enterprise 8.8 Patch 4 以降でのバッファーオーバーフロー保護(BOP)のイベント検出について

    tkudo

      皆さん、こんにちは
      マカフィーテクニカルサポートセンターです。

      最近のお問い合わせで、VirusScan Enterprise 8.8 Patch 4 以降で、バッファーオーバーフロー保護のイベント検出のお問い合わせが増加していますので、

      今回はこの機能に関する情報をこの場を借りて補足しておこうと思います。

      VirusScan Enterprise (VSE) 8.8 Patch 4 では BOP 機能が強化され、これまでのバージョンで実施されていた、限定的なプロセスで特定の API の呼び出し

      のみを監視していたの対し、Windows システムに実装されている DEP 機能を使用して BOP が保護するプロセスのリストに対して違反が発生したかどうかを

      判定した上で監視対象のプロセスで BOP 違反を検出された場合には VSE で設定されたアクションが実行されるようになりました。

      DEP が有効にされると、この機能をサポートする CPU上で、ページからの実行を許可/禁止する属性を示す No eXecute(NX) bit を使用して、禁止されたページ

      からのコード実行をチェックすることができるようになっており、VSE 8.8 Patch 4 以降のバージョンは、この仕組みを利用した BOP へと機能が強化されています。

       

      <VSE BOP でのバッファオーバフロー検知イベントの説明>
      2/27/2014 3:15:18 PM       <イベント検出日時>
      Blocked by Buffer Overflow Protection      <BOP で実行されたアクション>
      DOMAIN\User        <BOP イベント検出時のユーザーアカウント>
      C:\Program Files\Microsoft Office97\Office\MSACCESS.EXE  <バッファオーバフローが検出されたプロセス>
      :NTDLL.KiUserExceptionDispatcher::1bfe08 BO:Writable BO:Heap <バッファーオーバーフロー検出時の構造体、およびそのアドレス>

       

      さてここで、VSE 8.8 Patch 4 以降のバージョンでの検出イベントの増加と BOP 検出が正しいものかどうかですが、検出イベントの増加自体は上記のとおり、

      VSE 8.8 Patch 3 以前のバージョンと比べて、DEP を利用して保護される API が増加していることによりますし、またその検出自体も DEP での結果に基づいて

      おりますので、検出自体も正しい処理ということが言えます。

       

      またこの情報につきましては、下記ナレッジでも公開されております。

       

      VirusScan Enterprise 8.8 Patch 4 のインストール後にバッファーオーバーフロー違反が発生する
      https://kc.mcafee.com/corporate/index?page=content&id=KB81308&actp=null&viewloca le=ja_JP

       

      最近のマルウェアは OS やアプリケーションの脆弱性を狙って感染するものが多くなっていますので、こういった機能でセキュリティホールをカバーする必要性が

      益々増えています。BOP 機能自体は万能ではありませんので、OS や アプリケーションベンダーからセキュリティホールに関する対策用 Patch が提供されている

      場合にはセキュリティリスクを考慮のうえ、これらを速やかに適用して脆弱性の穴を塞ぐことが一番のセキュリティ対策となることはいうまでもありません。


      これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。


      以上

      マカフィー工藤
      ePO/MA/VSE Support Engineering Operations, Japan
      McAfee, Inc