Архив

Польский инженер обошла защиту Windows Vista

Новая операционная система Microsoft — Windows Vista может быть взломана. Сотрудница сингапурской софтверной компании Coseinc Джоанна Рутковска (Joanna Rutkowska) продемонстрировала это в ходе конференции по вопросам информационной безопасности Black Hat. Рутковска продемонстрировала уязвимость нового продукта Microsoft в то время, когда разработчики ОС обсуждали ее безопасность, отмечает сайт News.com.

Рутковска показала, как ей удается обойти средства защиты Windows Vista, которые должны обезопасить систему от запуска кода неизвестного происхождения. В ходе своего выступления эксперт объяснила, каким образом с помощью технологии виртуализации можно сделать вредоносный код незаметным, аналогично тому, как это делается при создании руткитов. Свой вредоносный код Рутковска назвала «Голубой пилюлей» (Blue Pill) (в такой форме выпускают виагру).

«Microsoft изучает решения для окончательного релиза Windows Vista, чтобы защитить систему от показанных атак. Кроме того, мы работаем с нашими партнерами в области аппаратного обеспечения и вместе изучаем пути, которые помогут предотвратить атаки с использованием «Голубой пилюли»», — заявил представитель Microsoft.

В ходе конференции Black Hat Microsoft раздавала участникам копии с ранней версией Windows Vista для тестирования. Разработчики операционной системы все еще собирают мнения тестеров продукта-преемника Windows XP, который должен появиться в широкой продаже в январе.

Для своего исследования Рутковска воспользовалась ранней версией Windows Vista. В качестве одной из мер защиты новой системы разработчики добавляют механизм, который блокирует работу неизвестных Microsoft драйверов на 64-битной версии ОС. Однако Рутковска обошла этот механизм и запустила в системе свой код. Вредоносные драйверы могут представлять серьезную опасность, поскольку работают на низком уровне операционной системы, отметили эксперты.

«То, что этот механизм был обойден, не означает, что Vista совсем небезопасна. Она просто не безопасна настолько, как ее расписывают. Очень трудно внедрить 100-процентную защиту ядра», — отметила Рутковска. Она также добавила, что атака возможна лишь в том случае, когда система работает под правами администратора. В противном случае взлом будет пресечен системой контроля за учетными записями (Microsoft’s User Account Control). User Account Control — ключевое средство Microsoft, направленное на снижение ущерба от запуска вредоносного кода.

«Я лишь нажала кнопку «Accept»», — ответила Рутковска на вопрос о том, как ей удалось обойти User Account Control. По ее мнению, из-за большого числа выплывающих окон в Windows многие пользователи сделают то же самое, не понимая, что именно они позволяют сделать системе и приложениям к ней.

Microsoft позиционирует Vista как самую безопасную версию Windows. Эта первая операционная система для рабочих станций, прошедшая цикл Security Development Lifecycle. Этот процесс подразумевает чистку кода и выявление уязвимостей перед выпуском продукта.

Показав, как можно обойти защиту от запуска сторонних драйверов, Рутковска сообщила о методе создания «Голубой пилюли». Вредоносный код использует виртуальную машину Pacifica, разработанную компанией Advanced Micro Devices.

«Голубая пилюля» может быть использована хакерами как бекдор, рассказала Рутковска. Несмотря на то, что «пилюля» была разработана на базе Vista и технологий AMD, она может работать и на других ОС и аппаратных платформах. «Некоторые предположили, что мою работу спонсирует Intel, ведь я сосредоточилась только на технологиях виртуализации AMD», — сказала Рутковска, добавив, что это неправда.

Польский инженер обошла защиту Windows Vista

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике