Dwa ruchy i... jesteśmy w Windows 7
-
- 22.10.2009, godz. 07:01
Problematyczne odwołanie podpisu
Microsoft przewidział możliwość odwołania podpisu dla sterowników pracujących w kernel mode, ale nie zawsze można skorzystać z takiej procedury. Sterownik obsługujący urządzenie systemowe wykorzystywane w oprogramowaniu antywirusowym firmy Kaspersky Lab, nadal może być użyty do włamań. Przyczyną, dla której nie zawsze wycofuje się podpisy jest fakt, że zablokowanie dostępu może powodować niestabilność systemów i aplikacji. Problem ten jest szczególnie istotny w przypadku sterowników dla takich urządzeń jak systemy storage czy karty graficzne. Gdyby odwołać uprawnienia, systemy operacyjne, w których pracują starsze sterowniki, zostałyby całkowicie zablokowane.
Nieoficjalnie mówi się, że w starszych sterownikach do kart graficznych Nvidia i ATI, w niektórych sterownikach do kart sieciowych oraz urządzeń storage, znajdują się poważne błędy, które umożliwiają przeprowadzanie ataków podobnych do tych, które przedstawili Björn i Marcus w swojej prezentacji na konferencji RSA w Londynie.
Przygotowanym narzędziem, które wykorzystywało słabość procedur podpisu i akceptacji, był Atsiv opracowany przez firmę LinchPinLabs, umożliwiał on załadowanie dowolnego kodu do jądra systemu w sposób całkowicie niewidoczny, z pominięciem zabezpieczeń. Dopiero 7 września odwołano akceptację tego kodu, ale odwołanie certyfikatu przez Verisign zadziałało jedynie w systemie Windows Vista. Prawdopodobnie w ten sposób podpisano znacznie więcej bibliotek, niektóre z nich do dziś z powodzeniem mogą posłużyć do przełamania zabezpieczeń.
Najważniejszą radą dla administratorów jest utrzymywanie systemów oraz sterowników w stanie aktualności, regularne subskrybowanie ostrzeżeń związanych z bezpieczeństwem oraz aktualizacja wykorzystywanego oprogramowania antywirusowego.
Wyłączenie czerwonej lampki
Sprytnym sposobem, które umożliwia uruchomienie dowolnego kodu, jest tryb test mode, w którym zabezpieczenia nie funkcjonują. Aby włączyć taki tryb, wystarczy skorzystać z narzędzia bcdedit i wymusić restart Windows. Tryb ten jest jednak sygnalizowany przez Windows za pomocą odpowiedniego komunikatu na pulpicie.
Jednak załadowanie dowolnego kodu umożliwia w szczególności modyfikację odpowiednich obszarów pamięci. Napis, który informuje użytkownika, znajduje się w określonym obszarze RAM i z powodzeniem można go usunąć przez nadpisanie właściwym zestawem wartości. Badacze posłużyli się przy tym narzędziem thinner, które po załadowaniu do adresu 76FC0000 zaalokowało obszar 2B0000 i wyczyściło obsługę komunikatu, który informował użytkownika o pracy w trybie test mode.
