Обновление системы цифровых подписей для x64 драйверов

Недавно Microsoft узнала о существовании некоего драйвера, работающего в режиме ядра и носящего название "Atsiv", который обеспечивал преднамеренную загрузку кода, который вступал в противоречие с политикой Kernel Mode Code Signing (KMCS), включенной в Windows Vista x64. В x64-изданиях Windows Vista по умолчанию включенная политика KMCS должна позволять загрузку кода в ядро только при наличии цифровой подписи с действительным кодом сертификата подлинности.

Драйвер Atsiv также способен загружать неподписанный код в ядро таким способом, чтобы его было не видно с помощью предоставляемых API операционной системы интерфейсов (таких как EnumDeviceDrivers() API), и это позволяет этому коду скрываться от стандартных развертываемых инструментов защиты. Установка драйвера Atsiv требует привилегий администратора, так что нет никаких уязвимостей в безопасности, что касается настройки Windows Vista по умолчанию, для которой действия пользователей ограничиваются возможностями Account Control feature.

KMCS не является границей системы безопасности, скорее это один из возможных аспектов подхода к обеспечению безопасности. KMCS не может обеспечивать средства определения "намерений" подписанного кода (хороший он или плохой); в действительности, подписанный код может содержать ошибки, быть низкокачественным и иметь своей целью неправомерные действия.

Главной выгодой от использования KMCS является то, что он предоставляет возможность опознавать автора данной части кода, что помогает связаться с этим автором в случае неполадок, которые отслеживаются через механизмы, подобные Microsoft Online Crash Analysis. Идентификация источника и собственника кода, который загружен ядром, является фундаментальным компонентом операционной системы и основой модели доверительной экосистемы. Кроме того, это обеспечивает большую прозрачность для пользователя в том, что касается происхождения кода, установленного и выполняемого в системе.

В случае с драйвером ядра Atsiv меры безопасности, предоставленные KMCS, сработали так, как ожидалось:

1. Полная анонимность была преодолена. Автор драйвера был опознан через код подписанный сертификат кода, и далее последовали действия, обсуждаемые ниже.
2. Была обеспечена проверка целостности кода режима ядра Atsiv. Эта проверка показала, что Atsiv может быть допущен до загрузки и выполнения в операционной системе. Microsoft занимается тем, что защищает своих клиентов как от фактических, так и от потенциальных угроз безопасности; таким образом, ответ на появление данной проблемы был таким:
3. Было выпущено обновление сигнатур Windows Defender от 2 августа 2007 года, которое позволяет обнаруживать, блокировать и удалять существующий на сегодня драйвер Atsiv. Классификация программного обеспечения Atsiv была сделана в соответствии с объективными критериями, используемыми командой Windows Defender для оценки характеристик потенциально опасного программного обеспечения.
4. Аннулирование сертификата прошло 2 августа 2007 года. Microsoft проделала работу с партнерами по экосистеме цифровых подписей сертификатов авторства для оценки проблемы Atsiv. VeriSign отменила использованиу цифровой подписи, использованной для Atsiv, что означает, что данный цифровой ключ уже не будет считаться действительным.
5. Команда безопасности Microsoft занимается добавление удаленного ключа в список аннулированных цифровых подписей для режима ядра. Механизм аннулирования цифровых подписей для режима ядра требует перезагрузки систем для вступления изменений в силу, причем этот процесс совместим с другими обновлениями Microsoft, которые требуют для окончания своей установки перезагрузку системы.

Короче говоря компания была способна идентифицировать эту проблему и устранить её на всех фронтах, при содействии партнера VeriSign и с помощью новых сигнатур для Windows Defender.


Источник: http://blogs.msdn.com/windowsvistasecurity
Перевод: Dazila