Роберт Павеза (Robert Paveza), разработчик web-приложений в маркетинговой фирме Terralever, опубликовал исследование, демонстрирующее двух шаговую атаку, позволяющую, по его словам, вредоносному коду инфицировать систему Vista даже из-под учетной записи, запущенной в рамках ограничения привилегий системой UAC.
Атака использует тот факт, что разрешения UAC в некоторой степени проницаемы, позволяя программам использовать процессы с предоставленными высокими привилегиями. Это имеет отношение к одному из дефектов в UAC, указанному исследовательницей безопасности Джоанной Рутковска (Joanna Rutkowska) в феврале. Рутковска показала, что уровни защиты целостности (IL, integrity level), насаждаемые UAC, разработаны с некоторыми брешами.
При атаке по Павеза вредоносный код может присоединяться к безвредным на первый взгляд программам, которые, в частности, могут представлять собой рекламу без нужды в особых привилегиях, оставляя работу по инфицированию на потом. “Например, если пользователи уверены, что они загружают клона “Pac-Man”-а, может быть запущена похожая игра, в то время, как вредоносный код сделал свое дело в фоне”, - пишет Павеза. – “При этом необходимо отметить, что на самом деле раз прошел запуск утилиты прокси-инфицирования на машине-цели, можно считать, что она успешно инфицирована”.
Между тем, программа может создать исполняемую заглушку-ответвление, указывающую на программу, которая запускается с повышенными привилегиями. Эта заглушка может быть расположена на видном месте, таком, как меню Пуск, где пользователь может нажать на ней, думая, что он запускает оригинальную, легальную программу с высшим уровнем защиты целостности. Когда пользователь, в конце концов, нажимает на эту заглушку, запускается программа с высшим уровнем защиты целостности и вредоносная программа загружается в процесс, объясняет Павеза. Санкционируя программу с высшим уровнем, пользователь также разрешает и вредоносный код. “Таким образом, оригинальный процесс и вредоносный процесс оказываются запущенными параллельно”, - пишет он.
Microsoft в своем заявлении умаляет риск подобной атаки, указывая, что атака требует значительного взаимодействия с пользователем, а не все пользователи имеют привилегии санкционирования вредоносного кода.
Несмотря на это, Марк Русинович (Mark Russinovich), технический представитель Microsoft из отдела платформы и сервисов, уже отвечал на все подобные заявления критики в феврале, объясняя, что UAC не следует рассматривать в качестве механизма безопасности. Скорее это способ указать разработчикам на написание более безопасных приложений, сказал он. “Vista делает компромисс между безопасностью и удобством использования, и оба механизма, UAC и Protected Mode (Защищенный Режим) IE имеют проектные возможности выбора, требующие открытия ветвей программы в границах IL для совместимости с приложением и простоты использования”, - пишет он. Так как границы, определяемые UAC и Protected Mode (Защищенный Режим) IE, разработаны с возможностью проницаемости, эти механизмы не могут рассматриваться в качестве барьеров безопасности, сказал он.
“Ни повышение прав UAC, ни Protected Mode (Защищенный Режим) IE не определяют новых границ безопасности Windows”, - пишет Русинович. – “Так как повышение прав и уровни защиты целостности (IL, integrity level) не определяют границ безопасности, потенциальный подход атак вне зависимости от простоты и масштаба не есть сбой безопасности”.
Комментарии (0)