微软数字签名不安全！波兰女黑客攻破Vista防线

newbie

北京时间8月5日消息，据国外媒体报道，为了摆脱安全漏洞带来的困扰，微软日前在“黑帽”计算机安全大会上发布了一个Vista的测试版本，邀请安全界专家为其查找漏洞。但毫无疑问，微软的这一大胆举措并没有难倒参加黑帽大会的各路高手。
8月4日，也就是大会的最后一天，一位来自波兰的女黑客就演示了如果利用Vista漏洞攻击目标系统。

　　这位波兰女黑客名叫乔安娜·鲁特克丝卡(Joanna
Rutkowska)，目前在新加坡安全公司Coseinc担任高级安全研究员。当日，鲁特克丝卡在大会举办地拉斯维加斯凯撒王宫大酒店演示了如果利用
Vista漏洞攻击目标系统。通过她的演示可以发现，具有系统管理员权限的攻击者可以欺骗x64版Windows Vista Beta
2内核，禁用系统的签名认证功能，从而允许用户系统加载未签名的设备驱动。

　　微软在Windows中采用了数字签名机制，使用户可以了解哪些驱动同特定版本的
Windows兼容。微软为x64版Vista设定的目标是，所有内核模式的驱动都应当通过签名认证。但鲁特克丝卡发现，Vista的签名认证功能可以被禁用，从而黑客可以在驱动程序中加载恶意代码。众所周知，由于驱动程序一般应用于操作系统底层，因此可以对系统构成致命危险。

　　尽管鲁特克丝卡认为Vista没有广告中宣传的那样安全，但她同时表示：“这一漏洞并不意味着Vista不安全，微软的工作非常出色。”通常情况下，软件开发商很难百分之百地保证操作系统内核安全。鲁特克丝卡还表示，要利用这一漏洞，攻击者必须具有管理员权限。而如果只具有普通用户权限，由于微软已经采用了“用户权限控制”技术，保证应用程序只获得最小的权限，因此这种攻击可能无法得逞。

　　除Vista漏洞之外，鲁特克丝卡发现了AMD虚拟化技术Pacifica存在的一个漏洞。她在黑帽大会上演示了如何使用自己的“Blue
Pill”技术编写恶意程序，并用它创建一个无法删除的管理程序层，最终达到控制服务器底层操作系统的目的。她表示，虽然“Blue
Pill”基于微软和AMD的技术，但在其它软硬件平台上应该也可以使用。

　　针对鲁特克丝卡发现的Vista漏洞，微软代表表示，该公司正在研究如何在Vista最终版本中避免出现相关漏洞。此外，微软也在同硬件合作伙伴合作，希望防止虚拟化技术被类似“Blue
Pill”的恶意程序所利用。