Vista murrettiin heti Black Hatissa
0
Microsoft haastoi viime viikolla Las Vegasin Black Hat -tapahtumassa tietoturvatutkijat murtamaan Windows Vistan suojauksia, ja tulosta syntyi heti. Puolalainen tutkija esitteli uuden vaarallisen "Blue Pill" -tekniikan, jolla AMD:n ja Intelin uusien prosessorien virtualisointitekniikoilla voi piilottaa virukset näkymättömäksi Vistassa. Hän esitteli myös toisen tekniikan, jolla haittaohjelmien ajamisen estotoiminnot voi ohittaa.
Ongelmat keksi puolalainen Joanna Rutkowska (blogi), joka työskentelee singaporelaisessa Coseinc-yhtiössä. Hän esitteli ensin suurelle yleisölle, miten Vistaan lisätty uusi tietoturvatekniikka ohitetaan.
Vistan haittaohjelmasuojaukset nurin
Microsoft on rakentanut Vistaan tekniikan, joka estää luvattomien 64-bittisten ajurien suorittamisen käyttöjärjestelmässä. Ajuria teeskentelevät haittaohjelmat voivat olla erityisen vaarallisia, sillä laiteajuri saa väkisinkin käyttöjärjestelmässä suuret toimintavaltuudet. Esimerkiksi rootkit-haittaohjelmia asennetaan uhrikoneille usein ajureina.
Rutkowska on löytänyt turvaongelman, joka mahdollistaa Vistan suojausten ohittamisen, ja luvattomien ajurien asentamisen. Tämä ei Rutkowskan mukaan tee käyttöjärjestelmästä yksin turvatonta, mutta joka tapauksessa luvattu turvatoiminto ei toimi kunnolla.
Uhkaa pienentää onneksi Vistan monikerroksiset suojausmekanismit. Esimerkiksi ajurisuojauksen ohittaminen vaatii ylläpitäjäoikeuksia, mutta Vistassa siirretään oletusarvoisesti päivittäinen käyttö pienemmille oikeuksille. Ajurin asentaminen vaatii siksi käyttäjältä asennusluvan antamista.
Sininen pilleri hyödyntää prosessorivirtualisointia
Blue Pill -koodinimellä kutsumaansa tekniikkaa, joka hyödyntää Intelin ja AMD:n uusiin prosessoreihinsa kehittämiä virtualisointitekniikoita. Niiden avulla koneessa voi ajaa toisistaan riippumattomia käyttöjärjestelmiä, ja esimerkiksi Symantec aikoo käyttää niitä virustorjuntaohjelmiston piilottamiseen ja suojaamiseen.
Rutkowska keksi tavan, jolla virus tai muu haittaohjelma voi tehdä saman, ja piilottaa itsensä täysin. Blue Pill -tekniikkaa (sininen pilleri) esiteltiin AMD:n prosessorin Pasifica-ominaisuuden avulla, mutta sen pitäisi periaatteessa toimia yhtä hyvin Intelin prosessoreilla ja muillakin käyttöjärjestelmillä kuin Windows Vistalla. Kyseessä ei ole Windows Vistan turva-aukko, vaan tekniikan yleisempi ongelma.
Microsoft ilmoitti heti, että se etsii tapoja ratkaista molemmat turva-aukot.
