トレンドマイクロがマイクロソフトWHQL認証のテストを欺いていた可能性。

cheating
Tech’s Volkswagen moment? Trend Micro accused of cheating Microsoft driver QA by detecting test suite
AV maker denies allegation, says researcher is ‘looking for attention’
The Register – Independent news and views for the tech community. Part of Situation Publishing

トレンドのカーネルレベルのコードで書かれたドライバーMysteriousCheck()という名前の関数は、特定のMicrosoftテストスイート(ドライバー検証ツール / Driver Verifier)が実行されているかどうかを検出するように見える。
なお、このテストスイートで、ドライバーがMicrosoftのWindows Hardware Quality Labs(WHQL)要件を確実に満たすように設計されている。ドライバーがこの基準を満たす場合はMicrosoftによってデジタル署名され、Windows Updateおよび同様の仕組みを介して配布される可能性がある。

具体的にMicrosoftのテストに合格するには、ソフトウェアのセキュリティ対策として、非実行非ページプール(別名NonPagedPoolNx)からメモリを割り当てる必要がある。よってMicrosoftのテスト対象のコンピューターでトレンドのドライバーが実行されている場合は、ソフトウェアはその動作を変更して、想定どおりの非実行非ページプールを使用する。だがテストが実行されていない場合、実行可能な非ページプールからメモリを割り当てている。
つまり悪意のあるユーザーやマルウェアがオペレーティングシステムの実行可能な非ページプールに悪意のあるコードを隠すため、これらは悪用される可能性がある。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ