Microsoft наблюдает за одним из первых руткитов для Vista

Директор по информационной безопасности компании Microsoft Бен Фейси лично присутствовал на демонстрации, проведенной в рамках конференции Black Hat и иллюстрирующей новую технику, используемую новым руткитом для захвата контроля над Windows Vista...

Бен Фейси был в числе приглашенных на демонстрацию нового руткита для Vista. Демонстрация проводилась в зале со стоячими местами, а шеф по безопасности компании Microsoft предпочел сесть на пол.

На специально сооруженной сцене на конференции Black Hat исследователь вредоносного ПО Джоанна Рутковска, представляющая польскую компанию Coseinc, рассказала о новой технике внедрения руткита в новую ОС Windows Vista – «самую безопасную», по словам Microsoft, ОС современности.

В качестве вице-президента STU (Security Technology Unit – отдела обеспечения безопасности ОС) компании Microsoft Бену Фейси приходится отвечать на выполнение обещаний по уровню безопасности Vista, которые даются компанией на каждой пресс-конференции. Рутковска же заявила и продемонстрировала, что возможность, предложенную Microsoft в Vista по предупреждению проникновения различного рода руткитов на компьютер, можно легко обойти. Такое заявление секьюрити-аналитика может вызвать кошмарную реакцию потенциальных пользователей.

Но на это заявление Фейси даже бровью не повел. Практически незаметный в толпе, он уделял пристальное внимание только лишь слайдам польского специалиста и даже не вздрогнул, когда зал разразился аплодисментами после окончания презентации по внедрению произвольного кода в 64-битное ядро Vista Beta 2 без необходимости перезагрузки.

"Это та причина, почему мы здесь. Чтобы оценить преимущества исследовательской работы, проведенной сторонними разработчиками, и ближе познакомиться с их результатами [прим. имеются ввиду whitehat-хакеры], чтобы понять, что в нашей модели работает и что не работает" – как сообщил нам Фейси сразу же после презентации.

"Мы уже прикрыли данный способ [проникновения] … тем не менее, не надо забывать, что это бета-версия и она не может не иметь баги. Такой сценарий атаки уже предотвращен в последних билдах" – говорит Фейси.

Рутковска [прим. фамилия созвучна со словом «руткит»] приехала на конференцию Black Hat в составе группы исследователей стелс-программ вредоносного назначения, чтобы рассказать другим специалистам о прогрессе в создании руткитов.

В ходе выступления Рутковска рассказала, как различные скрипты могут быть использованы для распределения избыточного количества памяти процессов, заставляя целевую систему выгружать неиспользуемый код и драйвера. На презентации Рутковска продемонстировала, как шел-код может быть запущен внутри неиспользуемого драйвера, полностью уничтожив абсолютно новую политику подписи драйверов, использованную в Windows Vista и позволяющую загружать в ядро исключительно драйвера, которые подписаны цифровой подписью.

Рутковска показала, как создать утилиту для внедрения руткита в систему, требующую для запуска всего лишь один клик мыши и использующую специальный эвристический алгоритм для подсчета необходимого количества памяти для размещения в замещенном «неиспользуемом драйвере какого-либо устройства».

Шел-код, используемый в демонстрации, был успешно отключенной проверкой сигнатур, что вызывало серьезную уязвимость системы, выражающуюся в загрузке неподписанных драйверов.

Рутковска, безусловно, была довольно своим успехом. Но своей презентацией она оказала услугу компании Microsoft, предложив пересмотреть весь механизм предотвращения загрузки неподписанных драйверов в ядро системы. "То, что существует некий механизм обхода защиты Vista, не говорит о том, что Vista полностью небезопасна" – добавляет она. "Она просто не такая безопасная, как обещали".

Фейси не сказал, каким образом Microsoft прикрыла данную брешь в последних сборках Vista, но на конференции он получил огромное количество советов и рекомендаций от автора презентации – Джоанны Рутковска.

Рутковска считает, что Microsoft стоит рассмотреть вариант запрещения raw-доступа к диску или вариант шифрования файла подкачки для его хранения в нефрагментированной области памяти. Это может оказать некоторое влияние на производительность ОС.

«Третье возможное решение – это полностью отключить фрагментирование ядра ОС» - говорит Рутковска.

"Очень сложно создать 100% эффективное ядро в ОС для повседневной работы" – говорит Рутковска, предупреждая специалистов и разработчиков о том, что хакеры всегда найдут способ, как внедрить свои вредоносные программы на компьютер пользователей.

Фейси, который стоял во главе делегации Microsoft на хакерской конференции, согласился с утверждением, что не существует на 100% безопасного ПО.

«Всегда возникают какие-то проблемы – всего ведь не предусмотреть. Если у вас есть способ пробраться к ядру, нельзя ни в чем быть уверенным. Такие проблемы не новы. Мы, в свою очередь, очень рады, что исследователи нашли эти проблемы и дали нам знать о них пока ОС находится в фазе бета» - говорит Фейси.

"Безусловно, мы исправим эти уязвимости и продолжим исправлять по мере их появления" – добавил он.

Источник: http://www.eweek.com
Перевод: deeper2k