Во второй части своего выступления, Рутковская объяснила, как при помощи технологий виртуализации можно запустить вредоносный код необнаруженным, подобно работе rootkit. Она назвала это вредоносный код “Blue Pill”, сообщает ZDNet.
“Microsoft ищет способ защиты Windows Vista от продемонстрированной атаки. Также мы работаем с нашими партнерами-производителями оборудования над предотвращением таких атак виртуализации, как Blue Pill”, сказал представитель компании.
На Black Hat Microsoft раздала копии Windows Vista всем посетителям конференции. Компания продолжает принимать отзывы тестеров о новой ОС, выход которой запланирован на январь.
Презентация Рутковской собрала полный зал, несмотря на то, что она проходила в последний день Black Hat. Для своих исследовательских целей аналитик Coseinc использовала ранние версии Windows Vista.
В качестве одной из мер безопасности, в 64-битную версию Windows Vista был добавлен механизм блокирования неподписанных драйверов. Однако Рутковска нашла способ запуска кода в обход этой блокировки. Неподписанные драйвера потенциально могли представлять серьезную угрозу, посколку они почти полностью были пропущены системой безопасности ОС, признали эксперты.
“Тот факт, что механизм был обойден, не значит, что Windows Vista абсолютно небезопасна. Просто она не столь безопасна, как её рекламировали. Очень сложно создать 100% защиту ядра”, сказала Рутковска.
Для реализации подобной атаки Windows Vista должна работать в режиме администратора, подчеркнула Рутковская. Это значит, что ее атака могла бы пройти только в случае отключения UAC - основной функции безопасности Windows Vista. UAC это основное оружие Microsoft для предотвращения запуска вредоносного кода, который мог привести пользователя к серьезным проблемам при использовании администраторского режима, типичного для Windows ХР.
На вопрос как ей удалось обойти UAC, Рутковска сказала: ‘Я просто подтвердила действие”. Так как UAC вызывает слишком много предупреждающих всплывающих окон, многие пользователи, будут подтверждать свои действия не особо задумываясь о своих действиях, считает Джоанна.
Microsoft говорит о Windows Vista как о своей самой безопасной ОС за все историю. Это первая клиентская версия Windows, созданная в соответствии с полным циклом безопасной разработки (Security Development Lifecycle) - процессом, которые должен помочь в выявлении прорех перед выходом продукта.
“В Windows Vista встроена многоуровневая система защиты, включая брандмауэр, работающий в режиме стандартного пользователя, защищенный режим IE, поддержка технологий /NX, ASLR, которые защищают от запуска случайного кода на уровне администратора”, заметил представитель Microsoft.
После своей презентации, Рутковска продемонстрировала собственно создание вредоносного кода Blue Pill. Технология, использующая Secure Virtual Machine (Pacifica) от AMD помогла взлому защиты.
Blue Pill может служить черным ходом для хакеров, говорит Рутковска. В то время как это было разработано для Windows Vista и технологии AMD, это также способно сработать на других ОС и другом оборудовании. “Некоторые люди считают, что моя работа спонсирована Intel, так как я сосредоточивалась только на технологии виртуализации AMD”, сказала Рутковска, добавив, что это неправда.