Microsoft допускает существование «легитимной угрозы» для Windows Vista

Еще до своего официального выхода Windows Vista находится под угрозой. В исследовании безопасности, которое провела Иоанна Рутковская, было показана возможность обойти систему защиты бета-версии нового детища Microsoft и установить rootkit*, которое называется Blue Pill...

К официальному выходу Windows Vista Майкрософт намеревается найти подходящее решение, которое сможет обезопасить продукт от потенциальной угрозы.

На Black Hat конференции Рутковская, являющаяся экспертом по безопасности сингапурской компании COSEINC, показала, что нашла путь преодолеть процесс проверки целостности анонимного кода, при загрузке его в ядро Vista. Далее она представила rootkit Blue Pill, который она создала, базируясь на созданной AMD (Advanced Micro Devices) Виртуальной Машине Безопасности.

Во время демонстрации обхода механизма проверки подлинности драйверов устройств, которые Майкрософт включила в Vista для предотвращения загрузки вирусов, троянских коней и т.п. или неавторизированных программных продуктов, Рутковская сказала: "То, что этот механизм был обойден, ещё не означает, что Vista полностью небезопасна. Она просто не настолько безопасна, как об этом говорится в рекламе". Она добавила: "Очень сложно создать 100% эффективную защиту ядра в любой распространенной операционной системе".

Во второй части своей презентации на Black Hat конференции. Рутковская, известный эксперт по rootkit`ам, детально описывала возможности Blue Pill, которые позволяют взломать компьютер и предоставить лазейку в безопасности для атакующих. Разработанный для Vista Blue Pill может быть легко адаптирован и для других платформ.

Пока что Blue Pill невозможно обнаружить, говорит Рутковская, несмотря на это она продолжает исследования для создания возможности обнаружения этого rootkit`a. Она говорит, что программные средства обнаружения могут быть не эффективными, а аппаратные, которые установлены в компьютере, могут обнаружить или предотвратить атаку, основанную на rootkit`е Blue Pill.

Серьёзно
Остин Вильсон, начальник отдела поддержки пользователей Майкрософт, говорит, что компания считает заявления Рутковской обоснованными, и уже рассматривают пути решения возникшей проблемы.

Вилсон также отметил, что атака Рутковской, основанная на обходе процесса проверки целостности анонимного кода, требует от атакующего входить в Vista на правах администратора системы. "Если вы вошли в систему на правах стандартного пользователя - это не сработает", отметил он. "Но мы всё ещё ищем варианты блокировки атак такого типа".

В своей презентации Рутковская предложила несколько путей, которые Майкрософт может использовать, как средство решения проблемы с проверкой целостности анонимного кода, и Майкрософт намеревается рассмотреть их.

Но, не смотря на сложившуюся ситуацию, Майкрософт не отложит релиз Vista, даже если не сможет найти решение этого вопроса.
К проблеме с rootkit`ом Blue Pill Майкрософт относится серьезно. Вилсон также сказал: "Мы ищем пути решения этого вопроса и собираемся сделать это в финальной версии Vista". Также Майкрософт отметила, что решает этот вопрос не одна, а совместно с Intel и AMD.

"То, что она нам показала, является обоснованной и реальной угрозой", сказал Вилсон.
Другой стороной виртуальной машины rootkit`а является то, что виртуальная машина и её управляющая программа обеспечивают верхний уровень управления операционной системой и также могут рассматриваться как механизм системы безопасности в будущих версиях операционных систем Майкрософт. "Если рассматривать вопрос со стороны серверов, то виртуализация может позволить запускать несколько операционных систем на сервере, " говорит Вильсон. Но такая перспектива требует нескольких лет для внедрения, потому что пока продукты Майкрософт очень распространены.

* rootkit (англ.) - набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Руткит позволяет хакеру закрепиться на взломанной системе и скрыть следы своей деятельности.

Источник: http://www.pcadvisor.co.uk/
Перевод: Rukzak