В Windows Vista DRM можно скрыть вредоносное ПО

Специалист в области безопасности опубликовал приложение из разряда proof-of-concept, которое позволяет хакерам использовать DRM-процессы Windows Vista с целью сокрытия в них вредоносного кода.

На прошлой неделе Алекс Ионеску (Alex Ionescu) заявил о создании программы - D-Pin Purr v1.0 - которая позволяет включать/отключать защищенные процессы в Windows Vista, новейшей операционной системе Microsoft.

Скриншоты, опубликованные в блоге Ионеску позволяют судить об успешности мероприятия. Ионеску приложил информацию, связанную с одним из процессов, который по умолчанию в Vista защищен. Попробуйте получить такую информацию с помощью, к примеру, Process Explorer и получите ошибку. На скриншотах Ионеску, снятых после снятия защиты, видно, что информация стала доступной.

Приложение, которое можно загрузить с сайта автора, стало объектом исследования различных секьюрити-экспертов. Фрейзер Ховард (Fraser Howard), старший исследователь в компании Sophos, сообщил, что программа смотрится неубедительно: несмотря на то, что программа запустилась, включить/отключить защиту процесса Ховарду не удалось.

"Я не могу полностью подтвердить или опровергнуть работоспособность приложения, но у меня возникли сомнения насчет того, что приложение может снимать защиту с процессов" - говорит Ховард. "Это следует понимать так, что есть большая вероятность, что с помощью данного кода можно добавлять защиту процессам".

Исходные коды недоступны. Согласно Ховарду, решение крайне разумное, потому как в случае, если код попадет к хакерам, это будет означать, что другие процессы не смогут более инспектировать взломанные защищенные процессы.

"Факт, что DRM в Windows Vista реализует механизм, через который код может ограничить действия других процессов, включая деятельность приложений для обеспечения безопасности, сам по себе является проблемой. Наличие проблемы открывает перспективы для хакеров, которые пытаются обойти механизм, причем как с целью создания PoC-кода (proof of concept), так и с целью проведения атаки" - сказал Ховард. "В данном случае исходные коды не были опубликованы - только приложение, призванное обратить внимание на проблему. Если бы был доступен исходный код, даже не сомневаюсь, что вирусописатели попытались бы добавить столь привлекательную функциональность к своим творениям".

Без наличия исходных кодов и дополнительной информации Ховард не смог прокомментировать, каким образом Ионеску смог создать D-Pin Purr v1.0. "Бинарное приложение должно сбить пользователей с толку с целью ограничить количество пользователей, которые могут использовать метод реверсивного инжиниринга (reverse engineering) и использовать находку Ионеску не по назначению" - считает Ховард. "Но требуется драйвер, хотя Microsoft в своей документации утверждает, что драйверы не могут быть использованы для обхода механизма защиты".

Ховард также сделал ремарку, что для запуска приложения с целью добавить/удалить защиту, требуются привилегии администратора.

На сегодняшний день Microsoft никак не прокомментировала данную проблему.


Источник: http://www.news.zdnet.co.uk
Перевод: deeper2k