Mener Vista åpner nye veier for rootkits

En polsk sikkerhetsekspert mener teknikker i Windows Vista, som skal beskytte mediefiler, også kan beskytte ondsinnet kode.

Under en presentasjon for antivirus-forskere ved den canadiske Virus Bulletin Conference denne uken, hevdet sikkerhetseksperten Aleksander Czarnowski ved polske AVET Information, at en teknikk i Windows Vista, som skal gjøre det vanskeligere for brukerne å manipulere DRM-beskyttede mediefiler, også kan lage et fristed for ondsinnet kode.

Windows Vista har en egenskap som kalles "protected processes". Mens vanlige prosesser i Windows i stor grad kan manipuleres av andre, tilsvarende prosesser eller prosessorer som kjøres med høye privilegier, for eksempel administratortilgang, skal de beskyttede prosessene ikke kunne klusses med av vanlige prosesser. Nye, beskyttede prosesser må være signerte og det skal ikke være mulig å injisere en tråd inn i en beskyttet prosess eller å få tilgang til det virtuelle minnet prosessen bruker.

En slik teknikk er velegnet for å kontrollere distribusjonen av og tilgangen til opphavsrettsbeskyttede mediefiler, fordi den beskyttede tilstanden i Vista begrenser hvilke måter mediefilene kan brukes på. Men Czarnowski mener at beskyttede prosesser også kan gjøre det vanskeligere for antivirus-selskaper som vil analysere endringer gjort av ondsinnet programvare. Dette skriver InfoWorld.

- Beskyttede prosesser er isolert fra andre applikasjoner, selv de med administrative privilegier, sa Czarnowski.

Han ser for seg at ondsinnet programvare som er i stand kan ta kontroll over beskyttede prosesser kan benytte dem til å modifisere minneadresser og gjøre andre endringer som vil være usynligte for antivirusprogramvaren og andre deteksjonsverktøy som kjøres i det samme miljøet.

    Les også:

- Jeg tror ikke noen i dette DRM-kappløpet tenkte på konsekvensene ved å legge denne muligheten i feil hender. Protected Processes er et våpen og i likhet med alle andre våpen, avhenger alt av hvordan du bruker det, sier Czarnowski, men kjenner ikke til at noen til nå har gjort forsøk på å oppnå slik urettmessig tilgang.

Han mener at også Vistas teknologi for beskyttelse av kjernen, PatchGuard, vil være en primærmål for fellesskapet av ondsinnede utviklere og at teknikker for å unnslippe beskyttelsesmekanismene for kjernen vil kunne bli offentlig tilgjengelig innen et år etter lanseringen av Vista.

Til InfoWorld sier Shane Coursen ved Kaspersky Labs at både signaturbeskyttede drivere og kjernebeskyttelsen har vist seg å kun ne manipuleres. Han sier at ting allerede er under utvikling og at erfaring viser at det tar bare et drøyt år før de avanserte teknologiene når ut til og blir tatt i bruk av ondsinnede.

Stephen Toulouse, en program manager i Microsoft's Security Technology-enhet, skr3ev nylig i et blogginnleggat Microsoft ikke kjenner til at noen har greit å komme seg rundt PatchGuard, men innrømmer at det nok ikke er noen umulighet. Skulle noen greie det, vil Microsoft utgi en sikkerhetsfiks for å tette hullet.

Mye av den nevnte teknologien, blant annet PatchGuard, vil kun bli tilgjengelig i 64-bits-utgaven av Windows Vista. PatchGuard finnes forøvrig også i 64-bitsutgaven av Windows XP, men den er lite utbredt.

Til toppen