Proxepx152 関係だが、これを日本語サイトで検索しても、有益な情報は何も出てこない。英語圏の情報を検索するには、日本語を混ぜず、英語だけで記載して検索する。
なお、
https://www.google.com/?hl=en
とすることで、英語圏の検索に入ることもできる。
さて、そもそもなぜこれを検索しようと思ったかだが、下記のポップアップが表示される。
この表示の意味は
A driver can't load on this device - Microsoft Support
によれば、下記のとおり。
A driver can't load on this device
You are receiving this message because the Memory Integrity setting in Windows Security is preventing a driver from loading on your device. Here are a few options you can try if you want to be able to use this driver:
つまり、メモリ整合性チェックに引っかかった、ということだ。
この設定は、windows11上で有効になっているのに無効になっていると表示されるバグがあった。今回の事例で、私の場合レジストリをいじって表示させないようにしているものの、機能としてはちゃんと動作していることが確認できた、というところか。
そして、これが表示される原因は下記にあるとおりであった。
Process Explorer - ProcExp152.sys Driver Flagged As Vulnerable - Microsoft Q&A
実は、私はProcess Explorer を管理者権限で起動している意識はなかった。
そこで、敢えて起動しているProcess Explorer を終了させ、非管理者権限で起動。
その場合には、特にエラーは出ずに起動できる。
その状態で、Run at Login のオプションを見ると、チェックが外れているので、これをonにしようとする。ところが、非管理者権限で起動しているときにはこれをonにできない。
そこで、またいったん終了させて、再度管理者権限で開くと、Run at Loginにチェックが入った状態になっている。そこで、これを外し、終了させる。
その後、procexp64.exe
のショートカットを作成し、それをstartupフォルダにコピー。
これでログオン時にProcess Explorerが非管理者権限で起動されることになる。
つまり、この脆弱性とは、本来の意味の脆弱性というよりは、管理者権限で起動された場合、できることが大きすぎるので、管理者権限で起動されていることが脆弱性になる、ということだ。
In our cases, the alert was being triggered and execution blocked due to the customers executing ProcessExplorer with elevated privilege (aka "as admin/system"). In this case the driver is loaded with same so is flagged because the driver "could be used by a threat actor to cause harm". Seems when the application is run normally, the issue is not the same as access to manipulate the system via the driver privileges is not available.
(ブラウザの自動翻訳)
私たちのケースでは、顧客が昇格された特権 (別名「管理者/システム」) で ProcessExplorer を実行しているため、アラートがトリガーされ、実行がブロックされていました。この場合、ドライバーには同じものがロードされているため、ドライバーが「脅威アクターによって危害を引き起こすために使用される可能性がある」ため、フラグが立てられます。アプリケーションが正常に実行されている場合、ドライバー権限を介してシステムを操作するためのアクセスが利用できないという問題とは同じではないようです。
こうした情報は日本語サイトでは得られなかったので、記載しておく。
今は自動翻訳があるので、英語サイトの情報も容易に活用できるので素晴らしい。
