10.04.2007
На хакерской конференции Black Hat Conference в Амстердаме эксперты из Индии продемонстрировали специальную программу, которая загружает Windows Vista в обход системы проверки цифровых подписей приложений.
Программа-загрузчик запускается с загрузочного CD или DVD, и затем подгружает Vista уже из-под себя, на лету подменяя в памяти файлы, отвечающие за защиту. В демонстрационном варианте VBootkit позволил запустить с системными — наивысшими — правами, командный интерпретатор cmd.exe, не имеющий цифровой подписи от Microsoft.
Демонстрация проводилась на кандидатском релизе 2 — Vista RC2. Разработчики, Нитин (Nitin) и Випин Кумар (Vipin Kumar) из компании NV labs, сказали, что они могли выпустить программу ещё до официального выхода системы, но у них не хватило ресурсов, чтобы завершить работу вовремя.
Технически, процесс подмены кода осуществляется посредством перехвата аппаратного прерывания работы с диском (прерывание 13): считанные с диска данные сначала модифицируются перехватчиком, а затем попадают в систему, запросившую их. Код опубликован в блоге специалиста ИТ-безопасности Брюса Шнейера (Bruce Schneier), сообщил Blackhat.com.
|