今天,一名安全研究者对外称,Vista 数字版权管理功能可能使恶意代码作者有机可乘,从而阻止反病毒程序移除他们的恶意程序!
在加拿大蒙特利尔召开的一年一度的病毒公告大会上,与会的发病毒研究者中,来自波兰 AVET Information and Network Security 公司安全专家 Aleksander Czarnowski 称,Vista 中提供数字版权管理功能的,被称为“受保护进程”的一项新特性,可能会出现滥用的情况,从而为 rootkit 和其他恶意代码提供保护. 
据微软官方所称,受保护进程是一种新类型的进程,其加强了 Windows Vista 中对数字版权管理功能的支持.受保护进程和 Windows Vista 中的标准进程一同存在.Windows Vista 中内置的限制条件要求新的保护进程被签名,并限制了标准进程和受保护进程以及受保护进程所创建的线程(任务)之间的通信.比如,标准进程不能向受保护进程插入一个线程,或者是访问受保护进程所使用的虚拟内存.
这些限制为控制有价值的媒体内容的分发和访问提供了很大的便利,因为它们允许内容所有者在 Vista 中以一个受保护状态运行媒体文件,从而限制了媒体文件只能以内容(或者版权)所有者所允许的方式使用.然而,Czarnowski 警告道,受保护进程同样也扰乱了那些反病毒软件供应商,因为他们希望分析恶意软件所带来的改变.
“受保护进程与其他应用程序是隔离的,即使是拥有管理员特权.”Czarnowski 说道.
受保护进程为 PMP(受保护媒体路径)创建了一个内在架构,这是一个在 Vista 和 Longhorn 上显示“优质”媒体工作的安全平台.
包含诸如 PE(受保护环境)和 PUMA(受保护用户模式音频)等的 PMP,包含了用户模式和内核模式保护,以预防微软所称的“流氓软件组件”盗取内容.
“我并不认为在这场 DRM 赛跑中的所有人都会考虑误用该功能所导致的结果,”Czarnowski 说道:“受保护进程就像是一把双刃剑,一切都取决于你如何去使用它.”
微软并没有立即对此发表任何评论,但是看起来该公司也担心受保护进程被滥用.
一份关于受保护进程“最佳实践”的公司文档警告开发者,不要“试图通过安装一个内核模式组件访问一个受保护进程的内存区域来绕过这个限制,”因为 Vista 和第三方产品依赖于这样一个事实:“受保护进程都是运行在包含环境中的验证签码.”
Czarnowski 称,他并不知道任何操作受保护进程所带来的效果.他的意见是在病毒公告展示上的关于rootkit技术的一个技术会议的尾声阶段提出的.
另外,Czarnowski 预言,Vista的内核保护技术 PatchGuard 将成为恶意代码社区的一个主要目标,并且逃避内核保护的技术将会在 Vista 发布之后的一年之内公布,亦或更快!
Kaspersky Labs 的一名高级技术顾问 Shane Coursen 说,驱动签名保护和内核保护将被证明为遍存漏洞的.
像新加坡的 COSEINC 公司的 Joanna Rutkowska 公布的可以对付 Vista 安全保护的“蓝色药丸”(Bule Pill)仍然遭到安全业界的质疑.但是,Coursen 说,这仅仅是一个时间问题,其他恶意代码作者也将会和 Rutowska 一样努力作出这方面的成果.
“基于以往的经验,通常这些先进技术面世并用于恶意目的仅仅是在一年之内.”Coursen 最后说道.
没有评论:
发表评论