Уязвимость драйвера ATI делает ядро Vista беззащитным

Недавно найденная (и до сих пор неисправленная) уязвимость в драйвере ATI нашла реализацию в мистической утилите Purple Pill (припоминаете Blue Pill - синюю пилюлю?), которая открывает злоумышленнику доступ к ядру Windows Vista.

Утилита под названием Purple Pill (или фиолетовая пилюля), написанная Алексом Ионеску (Alex Ionescu), представляет собой простой способ для загрузки неподписанных драйверов в Vista с помощью уязвимости в драйвере ATI, что доказывает несостоятельность нового механизма защиты от руткитов, реализованного в новой ОС Microsoft.

В интервью нашему изданию Ионеску подтвердил, что созданное им приложение реализует уязвимость в драйвере ATI — atidsmxx.sys версии 3.0.502.0, — что позволяет пропатчить ядро таким образом, чтобы отключить проверку драйверов на наличие цифровой подписи. Это означает, что автор вредоносного кода может использовать реально существующий драйвер ATI для получения доступа к ядру Vista.

"Я не знал, что драйвер ATI до сих пор не пропатчен"- говорит Ионеску. Он узнал о уязвимости из прошлогодней презентации Джоанны Рутковска (Joanna Rutkowska) с конференции Black Hat (см. .ppt-файл) и предположил, что к сему моменту она была устранена. "Я беру полную ответственность за релиз данной утилиты" - объясняет Ионеску, тем самым отрицая факт давления со стороны Microsoft. Однако, Ионеску подтвердил факт переговоров с Microsoft, сказав, что, быть может, он выпустит новую версию утилиты после релиза патча.

А пресс-секретарь Microsoft сообщил, что компания опасается, что драйвер ATI может оказаться "потенциально уязвимым". "Microsoft тесно сотрудничает с ATI с целью устранить уязвимость и донести обновленную версию драйвера до своих пользователей" - заявил пресс-секретарь компании. "Purple Pill является утилитой из разряда proof-of-concept (доказательство концепции), которая была доступна в течение очень ограниченного времени и более недоступна".

Ионеску сообщил, что утилита была доступна около 78 минут, при этом ее успели загрузить 39 раз. Но среди тех, кто успел загрузить утилиту, оказались парни из вездесущей Symantec. Эрик Чин (Eric Chien), старший менеджер команды разработчиков Symantec, сообщил, что его команда внимательно исследовала код утилиты Purple Pill и, по мнению команды, виновным в действительности является драйвер ATI.

"Драйвер ATI изначально обладал данной функцией/уязвимостью, позволяющей производить чтение/запись в ядро. Это и функция и баг одновременно. Мы не до конца уверены в том, зачем разработчики использовали ее, зная о том, что драйвер подписан и может быть использован третьими лицами с целью чтения/записи в ядро Vista" - объяснил в телефонном интервью Чин. Symantec считает Purple Pill хакерской утилитой, которую можно использовать в злоумышленных целях, поэтому компания выпустила обновление сигнатур для своих антивирусных продуктов.

Скорее всего, для распространения патча Microsoft прибегнет к услугам механизма автоматического обновления Vista. Компания также не может отозвать сертификат для драйвера, поскольку, как говорит Ионеску, он используется на 50% всех Vista-ноутбуков и отзыв сертификата повлияет на все эти компьютеры. Но даже если уязвимость будет исправлена, по мнению Ионеску данный эпизод создал прецендент, указывающий на серьезную опасность, которую представляют некачественные драйвера сторонних разработчиков. "Такого рода проблемы будут появляться всегда. И как продемонстрировала Джоанна, любой злоумышленник может получить подписанный драйвер. Однако теперь мы знаем, что даже подписанные драйвера имеют уязвимости, открывающие новые пути загрузки произвольного кода в ядро" - объяснил он.

В качестве решения данной проблемы Ионеску видит более глубокое взаимодействие между Microsoft и разработчиками драйверов, что позволит улучшить качество загружаемого в Vista кода. "Быть может, стоит анализировать код или выполнять ряд каких-либо тестов перед тем, как выдавать цифровой сертификат. Что-то нужно делать, поскольку это проблема драйверов не только ATI".

Что до компании ATI, то после нескольких дней молчания представители компании признали наличие данной уязвимости в драйверах AMD Catalyst. Вот заявление Джона Карвилла (Jon Carvill), пресс-секретаря AMD: "Недавно независимый исследователь обнаружил потенциальную уязвимость, которой подвержен драйвер Catalyst. После незамедлительного проведенного расследования компания AMD определила, что уязвимой оказалась лишь небольшая часть кода драйвера. Компания AMD намерена выпустить новую версию ATI Catalyst, которая исправляет данную уязвимость, не позднее 13 августа. Мы настоятельно рекомендуем обновить драйвера до версии 7.8 сразу же после релиза обновления. AMD и Microsoft ведут переговоры о дополнительных каналах распространения обновления".

Так что ожидайте обновления через Windows Update уже завтра - 14 августа.


Источник: http://blogs.zdnet.com/security
Перевод: deeper2k