Dwa ruchy i... jesteśmy w Windows 7

Dziś premiera najnowszego systemu operacyjnego Microsoftu, który - podobnie jak inne "okienka" - stanie się celem ataków hakerów. Niektórzy eksperci już teraz pokazują, jak obejść zabezpieczenia "siódemki".

Zabezpieczenia, chroniące dostęp do jądra 64-bitowego systemu Windows były reklamowane, jako bardzo bezpieczne. Rzeczywiście podwyższają poziom ochrony systemu, ale nadal prosto można je obejść. Pokazali to eksperci na konferencji RSA.

Najważniejszym z zabezpieczeń, które ma uniemożliwić (lub bardzo utrudnić) uruchomienie dowolnego kodu na poziomie uprawnień jądra systemu (czyli w trybie kernel mode), polega na tym, że system odmawia umieszczenia kodu, który nie jest podpisany i zaakceptowany. W systemach takich jak Windows Vista, Windows 7 czy Server 2008, prosta próba umieszczenia obcej biblioteki przez utworzenie usługi i załadowanie sterownika, nie powiedzie się. System wyświetli odpowiednie ostrzeżenie i nawet w przypadku posiadania uprawnień administratora, umieszczenie obcego kodu w jądrze systemu się nie powiedzie. Tak mówi teoria, praktyka pokazuje jednak, że zabezpieczenie jest słabsze, niż twierdzi marketing.

Cały proces ataku na firmową sieć, od SQL Injection aż do instalacji keyloggera i kompromitacji domeny, pokazywał na żywo Marcus Murray 20 października 2009 r. podczas konferencji RSA Europe w Londynie.

Na konferencji RSA Europe, która odbywa się w dniach 19-22 października 2009r, dwóch badaczy związanych ze szwedzką firmą TrueSec zaprezentowało pokaz, polegający na umieszczeniu keyloggera pracującego w kernel mode, obchodząc przy tym zabezpieczenia. Jeden z pokazów obejmował przejęcie kontroli nad systemem Windows Server 2008R2 jedynie za pomocą eksploita SQL Injection przeciw aplikacji webowej, znalezienia i wykorzystania kilku popularnych błędów administratora systemu oraz obcej biblioteki, którą udało się uruchomić. Kolejne pokazywały ataki kierowane przeciw systemom desktopowym, w pełni zaktualizowanym z serwerów Microsoftu.

Co można osiągnąć w kernel mode?

Wszystko, co tylko się da zrobić z systemem operacyjnym. Pracujący w trybie kernel mode rootkit może wykonywać dowolne czynności w niezauważalny sposób. Zademonstrowane narzędzie o nazwie striker było keyloggerem, który pracując w trybie kernel mode, umożliwia przejęcie i wysłanie przez sieć informacji o wciskanych klawiszach w całkowicie niewidoczny sposób dla danej maszyny. Tego procesu nie pokazuje Task Manager, nie ma żadnej informacji na jego temat w liście użytkowanych połączeń sieciowych. Chociaż sam keylogger nie jest niczym niezwykłym, gdyż podobne oprogramowanie infekuje co najmniej połowę komputerów domowych, proces pracujący w kernel mode jest o wiele trudniejszy do wykrycia. Z takim oprogramowaniem nie radzi sobie wiele z pakietów antywirusowych.

Więcej o Windows 7 na specjalnym serwisie Computerworl.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200