Vista數位版權管理將擾亂反病毒軟件!
今天,一名安全研究者對外稱,Vista數位版權管理功能可能使惡意代碼作者有機可乘,從而阻止反病毒程式移除他們的惡意程式!
在加拿大蒙特利爾召開的一年一度的病毒公告大會上,與會的發病毒研究者中,來自波蘭AVET Information and Network Security公司安全專家Aleksander Czarnowski稱,Vista中提供數位版權管理功能的,被稱為「受保護工作行程」的一項新特性,可能會出現濫用的情況,從而為rootkit和其他惡意代碼提供保護。
據微軟官方所稱,受保護工作行程是一種新類型的工作行程,其加強了Windows Vista中對數位版權管理功能的支持。受保護工作行程和Windows Vista中的標準工作行程一同存在。Windows Vista中內置的限制條件要求新的保護工作行程被簽名,並限制了標準工作行程和受保護工作行程以及受保護工作行程所創建的線程(任務)之間的通信。比如,標準工作行程不能向受保護工作行程插入一個線程,或者是訪問受保護工作行程所使用的虛擬記憶體。
這些限制為控制有價值的媒體內容的分發和訪問提供了很大的便利,因為它們允許內容所有者在Vista中以一個受保護狀態執行媒體文件,從而限制了媒體文件只能以內容(或者版權)所有者所允許的方式使用。然而,Czarnowski警告道,受保護工作行程同樣也擾亂了那些反病毒軟件供應商,因為他們希望分析惡意軟件所帶來的改變。
「受保護工作行程與其他應用程式是隔離的,即使是擁有管理員特權。」Czarnowski說道。
受保護工作行程為PMP(受保護媒體路徑)創建了一個內在架構,這是一個在Vista和Longhorn上顯示「優質」媒體工作的安全平台。
包含諸如PE(受保護環境)和PUMA(受保護用戶模式音頻)等的PMP,包含了用戶模式和內核模式保護,以預防微軟所稱的「流氓軟件元件」盜取內容。
「我並不認為在這場DRM賽跑中的所有人都會考慮誤用該功能所導致的結果,」Czarnowski說道:「受保護工作行程就像是一把雙刃劍,一切都取決於你如何去使用它。」
微軟並沒有立即對此發表任何評論,但是看起來該公司也擔心受保護工作行程被濫用。
一份關於受保護工作行程「最佳實踐」的公司文檔警告開發者,不要「試圖通過安裝一個內核模式元件訪問一個受保護工作行程的記憶體區域來繞過這個限制,」因為Vista和第三方產品依賴於這樣一個事實:「受保護工作行程都是執行在包含環境中的驗證簽碼。」
Czarnowski稱,他並不知道任何操作受保護工作行程所帶來的效果。他的意見是在病毒公告展示上的關於rootkit技術的一個技術會議的尾聲階段提出的。
另外,Czarnowski預言,Vista的內核保護技術PatchGuard將成為惡意代碼社區的一個主要目標,並且逃避內核保護的技術將會在Vista發佈之後的一年之內公佈,亦或更快!
Kaspersky Labs的一名高階技術顧問Shane Coursen說,驅動簽名保護和內核保護將被證明為遍存漏洞的。
像新加坡的COSEINC公司的Joanna Rutkowska公佈的可以對付Vista安全保護的「藍色藥丸」(Bule Pill)仍然遭到安全業界的質疑。但是,Coursen說,這僅僅是一個時間問題,其他惡意代碼作者也將會和Rutowska一樣努力作出這方面的成果。
「基於以往的經驗,通常這些先進技術面世並用於惡意目的僅僅是在一年之內。」Coursen最後說道。
|