Vista: block các cuộc tấn công Rootkit vào lõi hệ điều hành

Hôm thứ năm tuần qua, chuyên gia bảo mật Joanna Rutkowska của Microsoft thông báo rằng Vista vừa mới được xây dựng thêm chức năng mới nhất, có khả năng block các cuộc tấn công rootkit nhắm vào lõi hệ điều hành. Chính bà là người đưa ra sách lược về chương trình bảo vệ anti-rootkit mới cho Windows Vista trong mùa hè vừa qua.

Trong phiên bản Vista 64 bit, tất cả các ổ mô hình lõi (kernel-mode) đều phải được đánh dấu số hoá, một bước chuyển biến so với các phiên bản trước của Windows. Các phiên bản Windows trước đó được khuyến khích đánh dấu cho các ổ, nhưng không bắt buộc. Mùa hè này, chuyên gia bảo mật Rutkowska, người từng làm việc với hãng bảo mật COSEINC ở Singapore đã chỉ ra rằng có kiểu tấn công cho phép các ổ không đánh dấu truy cập trực tiếp vào nhân kernel của Vista. Nếu kỹ thuật này bị hacker lợi dụng, chúng sẽ thả các rootkit vào hệ điều hành mới.

Tuy nhiên, bản thử nghiệm Release Candidate 2 (RC2) của Vista 64-bit đã có thể block kiểu tấn công này.

“Vista RC2 bây giờ có thể block kiểu truy cập ghi vào các sector đĩa thô trong ứng dụng dành cho người dùng, ngay cả khi chúng được thực thi với đặc quyền quản trị cao”, Rutkowska viết trong blog của mình.

Mặc dù Vista ngăn chặn được kiểu tấn công, nhưng kỹ thuật mà Microsoft dùng để làm trệch hướng khai thác này là sai sót tự phát sinh. Vô hiệu hoá quyền truy cập ghi vào các sector đĩa thô trong mô hình người dùng của Vista “không chỉ là nguyên nhân cho các vấn đề không tương thích mà còn không thực sự là giải pháp cho vấn đề”

Bà cho rằng các ổ đánh dấu số hoá, hợp pháp này có thể sẽ bị tội phạm mạng hack và sử dụng trong các cuộc tấn công xây dựng rootkit cũng như các phần mềm độc hại malware khác trên máy chạy Vista. “Chẳng có cái gì có thể ngăn chặn một hacker “mượn tạm” ổ đánh dấu và dùng nó để thực hiện cuộc tấn công. Không có sai trái gì trong ổ, vì thế chẳng có lý do gì để thu hồi hay huỷ bỏ ký hiệu của ổ”.

Rutkowska nổi tiếng với việc tạo ra kỹ thuật “Blue Pill”, hiện được đưa vào công nghệ ảo hoá trên cơ sở sử dụng phần cứng của Intel và AMD. Kỹ thuật này tạo ra phần mềm malware cực kỳ nguy hiểm, có thể chiếm quyền điều khiển hệ điều hành của một server.