Megkerülhetők a Windows Vista memóriavédelmi mechanizmusai

Microsoft, Windows

Két biztonsági szakértő egy új módszert dolgozott ki, mellyel gyakorlatilag minden memóriavédelmi eszköz megkerülhető a Windows Vista-ban. A Las Vegas-i Black Hat biztonsági konferencián ismerteti Mark Dowd az IBM Internet Security Systems-től (ISS) és Alexander Sotirov, a VMware Inc.-től azokat az új módszereket, melyek segítségével a Vista védelmi rendszerei - többek között az Address Space Layout Randomization (ASLR) és a Data Execution Prevention (DEP) - megkerülhetővé válnak úgy, hogy a böngészőbe Java, ActiveX control-ok és .NET objektumok segítségével tetszőleges tartalmat töltenek be. A teljes cikk itt olvasható.

( trey | 2008. 08. 08., p – 20:28 )

"Researchers who have read the paper that Dowd and Sotirov wrote on the techniques say their work is a major breakthrough and there is little that Microsoft can do to address the problems. The attacks themselves are not based on any new vulnerabilities in IE or Vista, but instead take advantage of Vista's fundamental architecture and the ways in which Microsoft chose to protect it."

Erre mondják, hogy "defective by design"? Egyre inkább az az érzésem, hogy a Vista a Windows ME mellett a Microsoft második nagyobb baklövése a desktop OS termékek terén.

--
trey @ gépház

en nem tudom, de olvasva a prezentaciot
szerintem nem azonnal egyertelmu, hogy mindenhol fog ez futni. pl. a flash exploit azon mulik, hogy ki van kapcsolva a vedelem a flash exe headerjeben - nem tudom linuxon is ha van vedelem, ki lehet-e igy siman kapcsolni peldaul. De persze lehet, hogy Hunger ennek - es minden masnak - mar reg utananezett, es azert mondja amit. Ketlem, de teny, hogy lehet.

- Use the Source Luke ! -

Hát igen, az sem megnyugtató, amikor a jó kis bináris flash plugint elhasaltatja a PaX, amikor rámegyek az Ebay-re...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Nincs ezzel gond, fejlesszenek csak, a verseny jó. Csak nehogy a Linux brigád mérhetetlenül lemaradjon... Ha PaXTeam nem jön ki hamarosan a saját megvalósításával és az MS kamatoztatni kezdi a Gleipnir Project eredményeit a termékeiben (amely mellékesen a PaXTeam ötletén alapul), akkor elég nagy előnyre tesznek szert.

http://research.microsoft.com/research/sv/gleipnir/

Hát nem tudom, ez egy picit mintha halottnak tűnne 2006 óta, vagy csak én nem vettem észre valamit...

Ez az egyik. Nem igazán úgy tűnik, mintha olyan nagyon előbbre tartanának, bár te biztosan jobban képben vagy.

Pl. jövő kedden megint lehet globálisan tesztelni a Windows updatet Microsoft Updatet.Bár te nyílván ezekről a bugokról is több részletet tudsz, mint az átlag magamfajta r=1 user.

A másik, hogy most pontosan milyen terméket? A windowst hamarosan dobni akarják, és még elég bizonytalan (?), hogy mi lesz helyette. Inkább úgy tűnik, az agyonvirtualizáció irányába mozdulnak el. A virtualizáció pedig nem kifejzetten "barátja" a különféle memóriavédelmi jószágoknak.

A harmadik, te most miért is aggódsz a linux jövője miatt, áruld csak el ? :-))

Csak nehogy a Linux brigád mérhetetlenül lemaradjon...

Csak nem elmentél sutyiban a Linux Software Foundationhoz ? ;-)

------------

r=1 vagyok, de ugatok...

"Csak nehogy a Linux brigád mérhetetlenül lemaradjon...

Csak nem elmentél sutyiban a Linux Software Foundationhoz ? ;-)"

Nem kell mennie sehova: Reisert bezárták, Linus interfész nácizik, GKH és ERS GPL huszárok. A blobokat üldözik. Egyre több hardver támogatott. Mit akarsz még? Simán lemarad :-)

--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.

Erre mondják, hogy "defective by design"?

Ezesetben a Linux-ra is elmondható, mert ugyanezeket a módszereket ott is fellehet használni.

erről eszembe jut egy régi orosz vicc, még a szovjet korszakból,

a Tbilisi kgb kirendeltség lehallgató központjában hallgatják az amerika hangját.
Tbilisiben ellátási zavarok miatt éhezik a lakosság
erősítenek a zavaróállomások jelszintjén. de másnap a zavarás ellenére még mindig jól hallhatóan amerika hangja bemondja
Tbilisiben az egész lakosság éhezik. egészségi állapotuk kritikus pontra jutott
a KGB parancsnokságon a zavaróállósok jelét a maximumra állítják, pluszban a moszkvai rádiót jelét is elkezdik nyomni az amerika hangja frekvenciáin. ennek ellenére másnap, bár zavarosan de még mindig érthetően lehet hallani amikor az AH bemondja,
Tbilisiben az éhezés által elgyötört lakosság körében járványok törtek ki, úgy hullanak az emberek, mint a legyek.
a KGB tábornok teljesen kikelve magából üvöltözik, utasításba adja, hogy a következő hírekben azonnal mondja be a radio moszkva közleményét. a következő órában el is hangzik a következő közlemény,
a kaukázusban imperialista ügynökök sorozatos szabotázsai miatt apró ellátási zavarok voltak, DE Amerikában közben rendőrök VERIK A NIGGEREKET!
:D

( asch v | 2008. 08. 08., p – 23:52 )

Valami konkrét hogy hogy is működik ez?

( kpocza | 2008. 08. 09., szo – 16:43 )

Nagyon jó cikket írt ez a két csákó, rengeteget lehet belőle tanulni. Látom, hogy Word 2007-ben írták a cikket és azzal is konvertálták PDF-be. :)

Tök jól leírták a Visual C++ compiler és a Vista által alkalmazott védelmi mechanizmusokat. Megmutatták, hogy hogyan lehet ezeket kihasználni, majd konkrét példákat mutattak a kihasználásra.

Nekem úgy látszik, hogy inkább építő kritikát fogalmaz meg a cikk, minthogy a Vista memóriavédelmi gyengeségeit rója föl. Persze ettől még lehet máshogy is érteni. :)

A konklúzióban a legnagyobb problémaként a browser nyílt mivoltát (azaz plugin-eket lehet betölteni) illetve a Visual C++ compiler-ben található hibákat említette. És elvárja, hogy javítsák az illetékesek a problémákat, azaz a Microsoft javítsa a C++ compiler bugjait, a third party gyártók pedig készítsék fel a plugineket a Vista memóriavédelmi mechanizmusaira, valamint normálisan fordítsák le őket.

Fontos megemlíteni, hogy a legtöbb esetben a több mint egy éve kijavított ANI sebezhetőséggel triggerelte a két fickó az exploitokat. Aki rendesen feltette a havi frissítéseket, illetve Vista SP1-et használ legalább, az lényegesen kisebb veszélynek van kitéve. Az ANI sebezhetőség azért jöhetett létre, mert van egy compiler bug a Visual C++-ban, amit a Microsoftnak javítani kék.

Nyilvánvalóan a Vista nemcsak memóriavédelmi mechanizmusokkal rendelkezik a biztonság növelése érdekében. A WIC (Windows Integrity Control) régies nevén MIC (Mandatory Integrity Control) is ott van ám. A WIC négy alapvető integritási szintet definiál: Low, Medium, High, System. Ezek az integritási szintek a processeknek valamint a filerendszer és más objektumoknak is tulajdonsága. Bele van gyógyítva az ACL-be és be van injektálva a processbe. Működése röviden annyi, hogy alacsonyabb integritási szinten futó process nem küldhet üzenetet magasabb integritási szinten futó processnek, illetve nem érhet el magasabb integritási szinttel rendelkező filerendszer vagy más objektumot. Egy átlagos process Medium szinten fut, a rendszergazda által indított processek alapból Medium szinten futnak, de ez emelhető High szintre. A szolgáltatások System szinten futnak. Low szinten fut azonban a böngésző (Internet Explorer igen, a Firefox nem tudja). Low szintű objektumból eléggé kevés van (A letöltést is egy ieuser.exe broker process végzi).

Szóval pár felbukkanó ablakon túl kell jutni, hogy hatékonyan is ki lehessen használni a problémákat, ne csak demonstrációról szóljon az egész azoknál, akik még mindig sebezhetőek azzal a bizonyos ANI problémával. Eléggé vicces, hogy mindegyik exploit kódban megtalálható a következő szöveg: „Generates an ANI file that triggers the vulnerability”.

A lényeg az, hogy nem lehet egy oprendszer védelmi mechanizmusait külön-külön vizsgálni. Ezek összejátszása adja az igazi védelmet.