Windows Vista x64 защищается от руткитов
64-битные выпуски Windows Vista в последнее время стали подвергаться нападкам, особенно когда разговор идет о снижении уровня безопасности при использовании режима кодировки ядра, который был применен в x64 версиях ОС. И хотя Microsoft показала обязательный драйвер, подписывающийся в 64-битной Vista в качестве свежего веяния в борьбе против руткитов, и решение, не позволяющее неподписанным кодам загружаться в ядро ОС, Скотт Филд (Scott Field), архитектор безопасности Windows, признал, что это свойство не в состоянии улучшить защиту ядра. Kernel Mode Code Signing (KMCS - подпись режима кодировки ядра) – не такое уж и препятствие в плане безопасности. Существует два основных сценария его обхода. Вредоносный код может быть внедрен в ядро x64 Vista посредством драйвера с законным сертификатом или сертификатом, составленным злоумышленником. Кроме того, ядро ОС может быть «пробито» поврежденными драйверами.
Текст: Дмитрий Романенко
И все же, Microsoft готова иметь дело с любыми проблемами, связанными с неподписанными кодами, загруженными в ядро посредством либо ложного, законного или поврежденного драйвера. По этой причине компания составила гибкий список сертификатов подписи драйверов, всегда готовых быть аннулированными. "Список аннулирования ядра проходит проверку тогда, когда код ядра ОС загружает драйвер/модуль ядра. Существует ряд простых причин для сохранения пространства ядра. К ним можно отнести, например, ограничения запуска окружения ядра, а также ограничение атакуемых пространств, связанных с загрузчиком ядра. Есть и другие факторы, например, драйвера ядра, уже загруженные и которых невозможно деактивировать или удалить в безопасном режиме из уже работающей системы", – добавляет Филд.
www.winline.ru