安全分析師發現,微軟於Vista加入了防止駭客在作業系統核心寫入Rootkit程式的方法,但對微軟所採用的方法不以為然。
在Windows Vista的64位元版本裡,微軟新增了一種機制讓所有驅動程式都必須有數位簽章才能寫入Vista核心;相較之下在舊版Windows裡,數位簽章只是建議,但並不硬性要求。今年八月的黑帽大會上,知名的安全分析師 Joanna Rutkowska揭露了一種攻擊模式,可以讓沒有簽章的驅動程式存取Vista核心,這種技術一但被駭客所利用,就可以把 Rootkit隱身程式放到Vista作業系統裡。
Rutkowska製作了一款工具,用特殊的演算法自動找出Vista系統裡有多少記憶體可以分配用來利用未使用的驅動程式,並在Vista裡植入Rootkit。在黑帽大會的展示中,她的Shell Code可以在未使用的驅動程式裡執行,讓微軟以數位簽章方式來控制驅動程式寫入Vista核心的方法無法奏效。
然而,Rutkowska發現,在Windows Vista RC2 X64裡微軟已經修正這個問題。「微軟阻止使用者模式的應用程式寫入原始的磁區,就算提高到管理者的權限也不能寫入。」她在Invisible Things部落格裡寫道。
但她對微軟所用的方法很不以為然。Rutkowska認為,由於合法、簽章的驅動程式可能被駭客挾持,然後用來做 pagefile攻擊,因此微軟的方法無法斷根。「重點在於,驅動程式裡沒有臭蟲,所以就沒有理由取消驅動程式的簽章,就算我們發現有這個驅動程式被人利用來執行攻擊程式。」
「微軟用了最簡單的方法,但忽略了一項事實:這並無法解決問題。」她提出警告指出,這不但可能造成一些相容性問題,駭客也可能再發展出得以把程式碼放進Vista內核的工具。(編譯/郭和杰)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-16
