Windows Vista hack zet Microsoft voor schut

Op de recente Black Hat securityconferentie demonstreerde een onderzoeker publiekelijk verschillende methoden om beveiligingsvoorzieningen in Microsofts komende Windows Vista besturingssysteem te omzeilen.

Concreet heeft Joanna Rutkowska – een onderzoeker bij het in Singapore gevestigde [Coseinc] – op twee wijzen aangetoond hoe het Windows Vista systeem alsnog ertoe kan worden gebracht ontoelaatbare code te draaien.Normalerwijze vereist Windows Vista dat alle ‘driver’-software (de stuursoftware voor systeemonderdelen en randapparatuur) moet ‘signed’ zijn, m.a.w. code met ingebakken waarmerk waardoor afkomst en betrouwbaarheid wordt gegarandeerd. Rutkowska demonstreerde evenwel hoe ‘unsigned’ drivers konden worden ingeladen. Op dit punt luidde haar commentaar dat “het omzeilen van dit mechanisme niet betekent dat Vista onveilig is. Het betekent gewoon dat het niet zo veilig is als wordt beweerd.”In het tweede geval toonde de onderzoeker hoe ze een (vooralsnog onopspoorbare) rootkit – Blue Pill – kon installeren door gebruik te maken van de vitualizeringstechnologie van AMD (in casu de ‘Pacifica’ VM technologie). Hierbij werd code in de Vista kernel geïnjecteerd. Deze aanval laat toe een nieuwe hypervisor te creëren die het besturingssysteem controleert en die permanent beschikbaar voor de aanvaller is. Hoewel de aanval enkel op een AMD systeem werd getoond, stelt Rukowska dat deze ook zou werken op PC’s met Intel chips (Intel heeft een gelijkaardige virtualizeringstechnologie – VT, alias ‘Vanderpool’).Voor de beide aanvallen steunde Rutkowska op gedocumenteerde voorzieningen in Windows Vista en het betreft dan ook geen bugs, voegde ze eraan toe. Microsoft merkte op dat de aanvallen wel vereisten dat de aanvaller als de administrator van het systeem moet kunnen werken, en dat een standaardgebruiker hier niet toe in staat zou zijn. Wel worden de bevindingen ernstig genomen en zal Microsoft ze verhelpen. Rutkowska zelf vermeldde al een aantal remediëringspistes.Microsoft had voordien al op dit jaarlijks securityevent de hackers aangespoord de beveiligingsvoorzieningen van het besturingssysteem te testen. De nieuwste beta-versie van de software werd aan 3.000 securityonderozekers bezorgd. Rutkowska is overigens niet de eerste securityonderzoeker om het Windows Vista systeem te hacken, maar wel de eerste om dit in het publiek te doen. Voordien had ook Symantec al aangetoond hoe de bescherming van de gebruikersaccounts op verschillende wijzen kon worden omzeild. Microsoft zou ondertussen de bugs die door Symantec werden aangetoond, hebben weggewerkt. Het toont wel aan dat de software nog steeds zwakten vertoont en dat ook in de toekomst allicht nog bugs zullen opduiken. Rutkowska zelf merkte op dat het erg moeilijk is om een 100 procent efficiënte kernelbescherming in eender welk ‘general purpose’ besturingssyteem te implementeren.