Буткит для Windows 8 не может перехитрить механизм «безопасной загрузки»
Сообщения о новом бутките для Windows 8 звучат интригующе, если учесть, сколько уже копий было сломано по поводу функции «безопасной загрузки». Оказывается, новая вредоносная программа, которая была представлена в ноябре на конференции MalCon, действительно использует уязвимости старого механизма загрузки, который не будет использоваться в новых компьютерах с Windows 8.
Буткит под названием Stoned Lite, разработанный Питером Кляйснером (Peter Kleissner), исследователем проблем безопасности, нацелен на Windows 8 и Windows Server 2008. По функциональности он аналогичен другому буткиту Кляйснера, Stoned, который предназначен для Windows 2000 – Windows 7. Он внедряется в главную загрузочную запись на жестком диске компьютера и обходит таким образом контроль учетных записей Windows, загружаясь еще до старта операционной системы. Присоединенная к буткиту вредоносная программа из командной строки повышает права процесса «cmd.exe» до системных, как объяснил Кляйснер в интервью Softpedia. Кроме того, она изменяет механизм проверки паролей, позволяя хакеру входить в систему под любым локальным аккаунтом и с любым паролем.
Размер файла буткита составляет всего 14 Кбайт, что позволяет распространять его на CD-дисках и USB-флешках. Однако и Stoned, и Stoned Lite работают только на компьютерах, которые загружаются с ROM при помощи встроенного ПО BIOS, а Microsoft в сентябре сообщил, что Windows 8 в целях безопасной загрузки будет работать только на компьютерах, использующих протокол UEFI. Этот механизм перед загрузкой требует от операционной системы цифровой ключ и может блокировать работу любых приложений и драйверов, не подписанных данным ключом, что позволяет избежать заражения вредоносными программами, запускаемыми в процессе загрузки системы.
Это значит, что новые компьютеры, которые будут продаваться с предустановленной Windows 8, не будут подвержены действию буткита Stoned Lite, поскольку использование UEFI для них является обязательным. Повод для беспокойства будет только у тех пользователей, которые сумеют установить Windows 8 на старые компьютеры в обход UEFI.
Сам Кляйснер подтвердил, что Stoned Lite нацелен на устаревший BIOS, а не на UEFI. «Проблема старого механизма загрузки в том, что он не предусматривает проверки главной загрузочной записи, и это делает систему уязвимой. При использовании UEFI и безопасной загрузки все загружаемые приложения и драйверы должны иметь цифровую подпись, в противном случае они не будут загружены», – объяснил он в интервью Softpedia.
Другими словами, новый подход Microsoft к обеспечению безопасности Windows в процессе загрузки действительно помогает – по крайней мере, пока – защититься от таких буткитов, при условии, что компьютер использует UEFI. Однако это вряд ли успокоит народные волнения по поводу невозможности запускать другие операционные системы, в частности Linux, на компьютерах с системой безопасной загрузки Windows 8.
