Windows Vista i wirusy

Przeczytaj także: Dziurawa beta Windows Vista

Podstawowa słabość PatchGuard wynika z faktu, że funkcjonuje on na tym samym poziomie, który ma chronić. To oznacza, że jeśli złośliwa aplikacja zdoła załadować swój sterownik, będzie mogła wyłączyć PatchGuard. Naturalnie przy założeniu, że znana jest lokalizacja odpowiedniej funkcji monitorującej.

Zapobieganie modyfikacjom jądra jest z pewnością użyteczne, ponieważ legalne oprogramowanie nie będzie mogło modyfikować jądra do własnych celów. Będzie to miało pozytywny wpływ na stabilność i ogólne bezpieczeństwo systemu.

Podjęte przez Microsoft próby zwiększenia ogólnej stabilności systemu powodują skutki uboczne. Chroniąc dostęp do jądra przed wszystkimi i wszystkim Microsoft uniemożliwił producentom rozwiązań bezpieczeństwa zaimplementowanie pewnych funkcji w ich produktach. W rezultacie, nie można teraz wykorzystać szeregu różnych skutecznych narzędzi rozwijanych przez producentów antywirusowych. Dotyczy to nie tylko technologii służących do zwalczania rootkitów, ale również technologii ochrony proaktywnej wykorzystywanych do wykrywania nieznanych zagrożeń, które zostały zaimplementowane w produktach dla poprzednich wersji systemu operacyjnego. Pod pewnymi względami twórcy wirusów znajdują się obecnie w lepszym położeniu - PatchGuard może bez problemu zostać wyłączony przez rootkity.

Mówiąc o ochronie jądra Visty należy podkreślić, że zarówno PatchGuard, jak i podpisywanie sterowników to funkcje dostępne tylko w 64-bitowym sprzęcie. Minie trochę czasu, zanim platforma ta stanie się tak powszechna jak platforma 32-bitowa. Vista x86 nie posiada dedykowanej ochrony przed rootkitami.

2. Mandatory Kernel Mode i Driver Signing
Drugim komponentem bezpieczeństwa jądra systemu Windows Vista dla platform 64-bitowych jest obowiązkowy podpis cyfrowy dla każdego modułu lub sterownika na poziomie jądra.

Istnieje kilka udokumentowanych metod wyłączania sprawdzania podpisu. Wśród nich znajdują się metody stworzone w celu uproszczenia procesu rozwijania i testowania sterowników. Wynika to z faktu, że praktycznie niemożliwe jest uzyskiwanie cyfrowego podpisu dla kolejnych wersji sterownika tworzonych w celach testowych jeszcze przed opublikowaniem wersji ostatecznej. Z tego powodu dostępne są następujące metody wyłączenia sprawdzania podpisu:

1. Podłączenie debugera systemowego
2. Wybranie z menu startowego trybu, który nie kontroluje/monitoruje sterowników (łącznie z modyfikowaniem boot.ini)
3. Włączenie w konfiguracji bezpieczeństwa obsługi podpisów testowych. Microsoft dostarcza narzędzie służące do tworzenia podpisów testowych.

Te trzy udokumentowane sposoby wyłączenia ochrony stwarzają duże pole do eksperymentowania. Oprócz tego, poszukuje się odpowiednich luk w zabezpieczeniach. Sześć miesięcy temu Joanna Rutkowska przedstawiła własny wariant exploita. W wersji RC2 systemu Vista luka ta została usunięta, nie zmienia to jednak faktu, że został ustanowiony precedens.

Zdaniem autorki artykułu, najprawdopodobniej pojawi się wiele różnych metod obejścia ochrony modułu jądra poprzez ładowanie nieoznaczonych komponentów: wykorzystywanie udokumentowanych metod wyłączania ochrony, tworzenie exploitów podobnych do tego, o którym wspominaliśmy wyżej, zdobywanie przywilejów na poziomie jądra bez użycia sterowników oraz wykorzystywanie oznaczonego sterownika z legalnego produktu w szkodliwych celach (analogicznie do wykorzystywania przez niektóre wirusy komponentów legalnych urządzeń do wyszukiwania haseł w celu kradzieży poufnych informacji).