Microsoft реагирует на взлом ядра и обновляет защиту Windows Vista

Компания исправляет PatchGuard, чтобы предохранить Windows Vista х64 от неподписанного кода.

Вчера Microsoft тихо укрепила основную функцию безопасности в Windows Vista х64, для лучшей защиты операционной системы от взломов, которые проводились уже много недель.

Обновление для Kernel Patch Protection, также известного как PatchGuard, было выпущено через Windows Update как высокоприоритетное обновление, но не как патч по существу. Фактически Microsoft отрицает, что это исправление безопасности. "В то время как данное обновление добавляет дополнительную проверку в систему Kernel Patch Protection, оно не затрагивает уязвимостей безопасности" - так начинается консультация, опубликованная вчера на сайте Microsoft Security Response Center (MSRC) - "обновление увеличивает надёжность, производительность и устойчивость, предоставляемую Kernel Patch Protection".

Хотя обновление касается всех 64-битных редакций Windows, из-за недавних событий выделяется только Windows Vista. С конца июля, доступно несколько утилит, которые могут обойти ключевую особенность безопасности Windows Vista, которая требует, чтобы драйверы были подписаны с помощью правильного цифрового сертификата. Обе утилиты вставляли неподписанный код в легитимный драйвер, чтобы первый обошёл защиту Windows Vista, и попал в ядро.

Первая программа была выпущена четыре недели назад, когда австралийский разработчик Linchpin Labs выпустил утилиту Atsiv (Vista, только произнесённое задом наперёд), которая позволяла пользователю загружать в ядро неподписанные драйверы. В течение нескольких дней Microsoft обнулила их сертификат, что заставило Linchpin Labs признать себя побеждёнными.

Следующим был канадский исследователь Алекс Ионеску (Alex Ionescu), который на прошлой неделе нашёл способ использования уязвимости в видеодрайвере от AMD/ATI, и представил Purple Pill - еще одну утилиту, которая позволяла загружать неподписанные драйверы в ядро. Ионеску быстро разработал Purple Pill, когда понял, что драйвер ATI не был исправлен.

"Purple Pill внедряла сторонний драйвер, в таковой подписанный ATI, и который мог быть загружен на диск, и загружаем потом (подход похож на использовавшийся в Atsiv)" - заявил аналитик Symantec Олли Вайтхаус (Ollie Whitehouse) в своём сообщении на блоге компании, посвящённом безопасности, на прошлой неделе - "Однако оказалось, что этот подписанный драйвер имеет ошибку в дизайне, которая позволяла использовать этот драйвер для загрузки стороннего драйвера, даже если он не подписан".

В свою очередь ATI в понедельник обновила видеодрайвер для Windows Vista, чтобы исправить возможные повторения Purple Pill, выполняя обязательство, данное ранее AMD в заявлении, опубликованном блоггером ZDNet Райаном Нарэйном (Ryan Naraine).

В то время как Catalyst 7.8, возможно, и закрыл дырку в драйвере ATI, возможно будут найдены еще уязвимости или недостатки в дизайне, или другие решат пойти путём Atsiv, и заплатить за сертификат. "Будем надеяться, что Microsoft вмешается, и использует Windows Update как механизм обновления для них" - заявил в своём вчерашнем заявлении Вайтхаус.

Но, это не то, что казалось было во вчерашнем обновлении PatchGuard, добавил он сегодня рано утром, во время переписки по почте.

"Есть очень немного вещей, которые сможет сделать Microsoft, чтобы остановить "наложение" драйверов, если кто-то захочет приложить усилие по получению подписанного сертификата для собственного драйвера" - заявил Вайтхаус - "Единственная вещь, которую Microsoft может сделать для улучшении этого процесса - начать исследование кода, всех драйверов, которые хотят быть подписаны. Но в жизни это не реально. И даже в этом случае это была бы игра мышки с кошкой, относительно личностей, которые бы хотели провести свой драйвер через проверку кода".

Вместо этого, продолжал Вайтхаус, что, кажется, сделала Microsoft - укрепила оборону PatchGuard, так, что когда, например, происходит атака наложения драйверов, и хакер использует легитимный драйвер, чтобы провести свой драйвер в ядро - вред будет минимальный.

"Похоже, что они пытаются усложнить создание любого вредоносного кода, как только вы использовали уязвимость, которая позволяет запускать код в ядре, так как в случае с драйвером ATI, Atsiv, и т.д." - заявил Вайтхаус.

Microsoft не сильно помогла в выяснении того, что именно было усилено в обновлении PatchGuard - сопроводительная информация чрезвычайно неопределенная. Менеджер по релизам MSRC, Саймон Конант (Simon Conant), был чрезвычайно молчалив об этом в своём сообщении на блоге центра: "Обновление добавляет дополнительную проверку в Kernel Patch Protection для увеличения надёжности, производительности и устойчивости" - написал Конант.


Источник: http://www.computerworld.com
Перевод: Zloy Kak Pё$