Joanna Rutkowska wykryła poważną lukę projektową w Microsoft Vista. Tym samym dotrzymała słowa – mówiąc w wywiadzie dla HACK.pl w zeszłym roku, że przygotowała kilka ciekawych niespodzianek.
Błąd znajduje się mechanizmie User Account Control, który odpowiedzialny jest za zmniejszenie pola ataku oraz pomoc w zapobieganiu i informowaniu nas o próbach nieautoryzowanych zmian w systemie, które bez naszej wiedzy mogłyby zostać wprowadzone przez wszelkiego rodzaju malware.
Joanna wykryła, że w nowym systemie Microsoftu UAC automatycznie nadaje każdemu programowi instalacyjnemu uprawnienia administratora – niezależnie od tego, czy użytkownik chce zainstalować pakiet biurowy, czy też inny program. UPC rozpoznaje instalatory między innymi po nazwie “setup” więc sami pomyślmy jak łatwo jest podrzucić jakiekolwiek malware… Każdy program uruchomiony z uprawnieniami administratora będzie miał dostęp np. do ładowania modułów jądra systemu.
Czekamy na kolejne odkrycia…
Aktualizacja – Spór pomiędzy Microsoftem a Rutkowską.
Data: 15.02.2007, 10:55
Po wykryciu przez Joannę opisanego powyżej błędu, Microsoft zareagował natychmiast. Mark Russinovich, sławny twórca pakietu narzędzi Winternals i odkrywca rootkitu Sony. Russinovich wyjaśnia, że takie mechanizmy jak UAC czy Protected Mode Internet Explorer nie są technikami służącymi bezpieczeństwu. Są to, jak twierdzi, funkcje, które są zależne od uprawnień użytkowników i w samej filozofii ich działania leży dopuszczenie do sytuacji, w których mogą zostać “przełamane”.
“Vista dokonuje wyboru pomiędzy bezpieczeństwem a wygodą. UAC i Protected Mode IE zawierają pewne wyjątki w Poziomach Integracji, które zapewniają, że programy są kompatybilne i łatwe w użyciu” – pisze Russinovich.
Komentarz Joanny Rutkowskiej na wypowiedzi Marka, “Czy to ma być żart? Wszyscy dobrze pamiętamy, jak Microsoft opowiadał o tym, jaka to Vista będzie bezpieczna. I jak opowiadał, że nowe narzędzia zabezpieczające, takie jak UAC i Protected Mode IE poprawią stan informatycznego bezpieczeństwa na świecie. A teraz co słyszymy? Że ten okręt flagowy zabezpieczeń (UAC) w rzeczywistości… nie jest technologią zabezpieczającą!”
Więcej informacji na blogach Joanny Rutkowskiej i Marka Russinovicha
HACK.plMark Russinovich jest redaktorem Windows IT Pro oraz architektem oprogramowania w firmie Winternals Software. Przez specjalistów ds. zabezpieczeń ceniony był od dawna, jednak prawdziwą popularność zdobył w październiku 2006 r., gdy wykrył, że oprogramowanie zabezpieczające płyty CD firmy Sony Music przed nieautoryzowanym kopiowaniem wykorzystuje rootkit. Jakby tego było mało, wkrótce okazało się, że rootkit ten zawierał błąd w zabezpieczeniach, który naraził użytkowników na atak groźnego konia trojańskiego. Sprawa ta miała poważne konsekwencje dla koncernu – zarzucono mu m.in. instalowanie na komputerach klientów oprogramowania szpiegowskiego. Mark Russinovich odkrył także, że dwa popularne programy do emulowania napędów optycznych – Alcohol oraz Daemon Tools – również korzystają z rootkitów.
Warto wspomnieć, że portal FrSIRT opublikował wczoraj aż siedem krytycznych luk w MS Windows, MS Office, Internet Explorer, MS Word oraz MDAC. Wszystkie błędy umożliwiają przejęcie kontroli nad systemem. Błędy występują między innymi w Microsoft Office 2004 for Mac, Microsoft Windows Server 2003, Microsoft Excel 2000, Microsoft InfoPath 2003, Microsoft Project 2002 Service Pack 1, Microsoft Visio 2002 Service Pack 2, Microsoft Learning Essentials 1.0 for Microsoft Office, Microsoft Learning Essentials 1.1 for Microsoft Office, Microsoft Learning Essentials 1.5 for Microsoft Office, Microsoft Windows Defender, Microsoft Windows XP Service Pack 2, Microsoft Windows XP Professional x64 Edition
Więcej informacji o wszystkich błędach na stronach:
http://www.frsirt.com/english/advisories/2007/0580
http://www.frsirt.com/english/advisories/2007/0581
http://www.frsirt.com/english/advisories/2007/0584
http://www.frsirt.com/english/advisories/2007/0583
http://www.frsirt.com/english/advisories/2007/0582
http://www.frsirt.com/english/advisories/2007/0579
http://www.frsirt.com/english/advisories/2007/0578
