今年8月,新加坡Coseinc公司的波兰安全研究员Joanna Rutkowska在新加坡“黑帽”大会上演示了如何绕过Windows Vista安全保护机制将其黑掉,不过最新的Vista RC2已经进行了修正,提供了更强的安全防护,但也因此让很多合法程序无法正常工作。
Rutkowska的方法可以绕过64位Vista的安全机制,在系统底层执行未签名的驱动代码,安装恶意驱动程序进行破坏。在Vista RC2发布后,Rutkowska又进行了同样的尝试,但以失败告终,她也在Blog中表示自己的攻击方法已经失效。Rutkowska认为,微软可能是阻止了用户模式应用程序对RAW磁盘扇区的写操作访问权,从而将黑客攻击拒之门外,即使程序有管理员权限也不行。
这的确是个好消息,不过微软按下了葫芦,却没注意瓢又浮起来了。Rutkowska指出,微软这种禁止方法会导致磁盘编辑、数据恢复、碎片整理等正常应用程序也面临兼容性问题,除非它们也有自己的内核级驱动程序,并经过签名。
Rutkowska还进一步表示,微软这种做法只能治标不能治本,黑客仍然可以劫持正常驱动,并插入自己的恶意代码,照样可以对系统进行深层次的破坏。
Rutkowska曾在演示中提出了两种可能的解决方法,“但微软没有理会,使用了自以为最简单的方法,却忽视了其实并没有从根本上解决问题的事实”。
(e129)
