Microsoft heeft een beveiligingsgat met betrekking tot drivers in Windows Vista gedicht. Dit gat is begin augustus getoond op de Black Hat-conferentie in Las Vegas. Volgens ontdekster Joanna Rutkowska is het gekozen lapmiddel echter niet afdoende.
De Poolse beveiligingsexpert toonde op Black Hat een manier om drivers te installeren die niet gecertificeerd zijn door Microsoft. Daarmee is één van de beveiligingsmechanismes in Vista omzeild. Drivers, al dan niet gecertificeerd, draaien op een laag niveau in het besturingssysteem en kunnen dus veel aanrichten. Microsoft heeft altijd al beweerd dat veel van de systeemcrashes in Windows voortkwamen uit slecht geschreven drivers.
Microsoft verklaarde direct na Rutkowska's demonstratie al dat de uiteindelijke uitvoering van Vista bescherming biedt tegen haar hackmethode. De hacker gaf in haar sessie op Black Hat al twee tegenmaatregelen aan om het door haar ontdekte gat te dichten. Microsoft lijkt nu echter een derde optie te hebben gekozen, die volgens Rutkowska minder goed is. "Microsoft heeft een makkelijkere oplossing gekozen en daarbij het feit genegeerd dat dit het probleem niet echt oplost."
De Windows-producent heeft namelijk schrijftoegang tot raw disk-sectoren geblokkeerd voor applicaties die draaien in user-modus, ook als die worden uitgevoerd met (hogere) beheerdersrechten. Dit sluit de deur voor Rutkowska's aanvankelijke methode, maar het onderliggende probleem is er nog. Een kwaadwillende kan een wel gecertificeerde driver misbruiken om zijn eigen malware op laag niveau in te brengen in Vista.
Daarnaast zou het blokkeren van schrijftoegang compatibiliteitsproblemen opleveren voor diskeditors en herstelhulpmiddelen voor data-redding. Volgens beveiligingsontwikkelaar Stephen Toulouse van Microsoft valt dat wel mee. "Wij menen dat deze verandering geen grote gevolgen heeft voor applicatiecompatibiliteit. Bovendien speelt dit alleen op de 64-bit uitvoeringen."
Verder lijkt Toulouse de kritiek van Rutkowska enigszins te erkennen: "De doorgevoerde verandering is de meest toepasselijke gezien de tijd en impact op het product, en de verspreiding van deze dreiging." De topman benadrukt dat de hackmethode hoe dan ook lokale beheerdersrechten vereist en dat het nieuwe User Account Control (UAC) van Vista dit verhindert. UAC zorgt ervoor dat een Windows-gebruiker zijn of haar pc niet standaard als beheerder draait, terwijl applicaties dan toch goed functioneren. Tot op heden kan malware hierdoor bij Windows XP veel kwaad uitrichten.
Lees meer over