Microsoft наблюдает за одним из первых руткитов для Vista
Директор по информационной безопасности компании Microsoft Бен Фейси лично присутствовал на демонстрации, проведенной в рамках конференции Black Hat и иллюстрирующей новую технику, используемую новым руткитом для захвата контроля над Windows Vista...
Бен Фейси был в числе приглашенных на демонстрацию нового руткита для Vista. Демонстрация проводилась в зале со стоячими местами, а шеф по безопасности компании Microsoft предпочел сесть на пол.
На специально сооруженной сцене на конференции Black Hat исследователь вредоносного ПО Джоанна Рутковска, представляющая польскую компанию Coseinc, рассказала о новой технике внедрения руткита в новую ОС Windows Vista – «самую безопасную», по словам Microsoft, ОС современности.
В качестве вице-президента STU (Security Technology Unit – отдела обеспечения безопасности ОС) компании Microsoft Бену Фейси приходится отвечать на выполнение обещаний по уровню безопасности Vista, которые даются компанией на каждой пресс-конференции. Рутковска же заявила и продемонстрировала, что возможность, предложенную Microsoft в Vista по предупреждению проникновения различного рода руткитов на компьютер, можно легко обойти. Такое заявление секьюрити-аналитика может вызвать кошмарную реакцию потенциальных пользователей.
Но на это заявление Фейси даже бровью не повел. Практически незаметный в толпе, он уделял пристальное внимание только лишь слайдам польского специалиста и даже не вздрогнул, когда зал разразился аплодисментами после окончания презентации по внедрению произвольного кода в 64-битное ядро Vista Beta 2 без необходимости перезагрузки.
"Это та причина, почему мы здесь. Чтобы оценить преимущества исследовательской работы, проведенной сторонними разработчиками, и ближе познакомиться с их результатами [прим. имеются ввиду whitehat-хакеры], чтобы понять, что в нашей модели работает и что не работает" – как сообщил нам Фейси сразу же после презентации.
"Мы уже прикрыли данный способ [проникновения] … тем не менее, не надо забывать, что это бета-версия и она не может не иметь баги. Такой сценарий атаки уже предотвращен в последних билдах" – говорит Фейси.
Рутковска [прим. фамилия созвучна со словом «руткит»] приехала на конференцию Black Hat в составе группы исследователей стелс-программ вредоносного назначения, чтобы рассказать другим специалистам о прогрессе в создании руткитов.
В ходе выступления Рутковска рассказала, как различные скрипты могут быть использованы для распределения избыточного количества памяти процессов, заставляя целевую систему выгружать неиспользуемый код и драйвера. На презентации Рутковска продемонстировала, как шел-код может быть запущен внутри неиспользуемого драйвера, полностью уничтожив абсолютно новую политику подписи драйверов, использованную в Windows Vista и позволяющую загружать в ядро исключительно драйвера, которые подписаны цифровой подписью.
Рутковска показала, как создать утилиту для внедрения руткита в систему, требующую для запуска всего лишь один клик мыши и использующую специальный эвристический алгоритм для подсчета необходимого количества памяти для размещения в замещенном «неиспользуемом драйвере какого-либо устройства».
Шел-код, используемый в демонстрации, был успешно отключенной проверкой сигнатур, что вызывало серьезную уязвимость системы, выражающуюся в загрузке неподписанных драйверов.
Рутковска, безусловно, была довольно своим успехом. Но своей презентацией она оказала услугу компании Microsoft, предложив пересмотреть весь механизм предотвращения загрузки неподписанных драйверов в ядро системы. "То, что существует некий механизм обхода защиты Vista, не говорит о том, что Vista полностью небезопасна" – добавляет она. "Она просто не такая безопасная, как обещали".
Фейси не сказал, каким образом Microsoft прикрыла данную брешь в последних сборках Vista, но на конференции он получил огромное количество советов и рекомендаций от автора презентации – Джоанны Рутковска.
Рутковска считает, что Microsoft стоит рассмотреть вариант запрещения raw-доступа к диску или вариант шифрования файла подкачки для его хранения в нефрагментированной области памяти. Это может оказать некоторое влияние на производительность ОС.
«Третье возможное решение – это полностью отключить фрагментирование ядра ОС» - говорит Рутковска.
"Очень сложно создать 100% эффективное ядро в ОС для повседневной работы" – говорит Рутковска, предупреждая специалистов и разработчиков о том, что хакеры всегда найдут способ, как внедрить свои вредоносные программы на компьютер пользователей.
Фейси, который стоял во главе делегации Microsoft на хакерской конференции, согласился с утверждением, что не существует на 100% безопасного ПО.
«Всегда возникают какие-то проблемы – всего ведь не предусмотреть. Если у вас есть способ пробраться к ядру, нельзя ни в чем быть уверенным. Такие проблемы не новы. Мы, в свою очередь, очень рады, что исследователи нашли эти проблемы и дали нам знать о них пока ОС находится в фазе бета» - говорит Фейси.
"Безусловно, мы исправим эти уязвимости и продолжим исправлять по мере их появления" – добавил он.
Источник:
Перевод: deeper2k
По теме
- Windows Vista официально "мертва"
- Завтра прекращается поддержка Windows Vista
- Остался последний месяц поддержки Windows Vista
- 11 апреля Microsoft прекратит поддержку Windows Vista
- Через год прекращается поддержка Windows Vista
- Microsoft открыла исходный код Open XML SDK
- Баллмер: Longhorn/Vista - моя самая серьезная ошибка
- Сегодня заканчивается бесплатная фаза поддержки Windows Vista и Office 2007
- Microsoft продлила срок поддержки Windows Vista и Windows 7
- Практики обеспечения безопасности Microsoft - лучшие в мире