Thema: Microsoft sperrt 64-Bit-Treiber aus

[SiLæncer]

Die 64-Bit-Version von Windows Vista verlangt eine digitale Unterschrift für sämtliche Treiber, die im Kernel-Modus laufen. Nun hat Microsoft das Zertifikat des Atsiv-Treibers auf die Sperrliste gesetzt und den Treiber damit vom System ausgesperrt. Zusätzlich haben die Redmonder für die Anti-Spyware-Lösung Windows Defender eine Signatur für den Treiber veröffentlicht, die ihn als unerwünschte Software identifiziert.

Der von den LinchpinLabs entwickelte Atsiv-Treiber dient einzig und allein dazu, weiteren Code – sowohl signierten als auch unsignierten – nachzuladen und im Kernel-Kontext auszuführen. Dazu hat das Unternehmen den Treiber mit einem Zertifikat von Verisign ausgestattet. In einem Eintrag in Microsofts Vista-Security-Blog schreibt Windows Security Architect Scott Field, dass die Software gegen die Richtlinien zum Kernel Mode Code Signing (KMCS) verstoße, die eben im 64-bittigen Vista nur signierten Code im Kernel zuließen. Der Atsiv-Treiber stelle auch Möglichkeiten bereit, weiteren Code so in den Kernel zu laden, dass die offiziellen Schnittstellen wie EnumDeviceDrivers() ihn nicht sehen könnten und könne so dazu missbraucht werden, das System komplett zu kompromittieren.

Field sieht in KMCS selbst keine Sicherheitsbarriere, sondern lediglich einen weiteren Teilaspekt des Sicherheitskonzepts, da KMCS nicht überprüfen könne, ob der vorliegende Code gute oder böse Absichten habe. Durch KMCS lasse sich jedoch der Autor des Codes ermitteln und gebe Microsoft damit Gelegenheit, zum Beispiel Probleme mit von der Software provozierten Abstürzen im Rahmen der Microsoft Online Crash Analysis im direkten Austausch anzugehen. Der Mechanismus stelle also ein Vertrauensmodell dar. Beim Atsiv-Treiber habe sich bewiesen, dass es funktioniere: Der Autor des Treibers war nicht anonym und der Atsiv-Treiber selbst wurde erfolgreich auf Integrität überprüft, also darauf, dass er nicht verändert wurde.

Aufgrund des Verstoßes gegen die KMCS-Richtlinien habe Microsoft jedoch bei Verisign den Rückzug des verwendeten Zertifikats angestoßen, damit der Treiber sich nicht mehr installieren lässt; weiterhin wolle man das Zertifikat auf die Kernel-Liste gesperrter Zertifikate setzen, damit der Treiber nach einem Neustart nicht mehr geladen wird. Die Defender-Signatur soll schließlich dafür sorgen, dass Anwender den Treiber entdecken und von der Festplatte entfernen können.

Aus den Kommentaren zu dem Blog-Eintrag geht hervor, dass viele Anwender sich nun sorgen, die Kontrolle über ihren Rechner an Microsoft beziehungsweise an die Zertifizierungsstellen wie Verisign abzugeben, die als Software-Polizei auftreten würden. Für das Vista-DRM-System Protected Environment, das einen einbruchsicheren Korridor für High-Definition-Multimedia-Daten bieten soll, hat Microsoft ein derartiges Verhalten jedoch bereits deutlich angekündigt.

Quelle : www.heise.de

[SiLæncer]

Die LinchpinLabs hatten mit dem Atsiv-Treiber eine Software entwickelt, die mit dem Schlüssel des Unternehmen unterschrieben war und das Nachladen beliebigen Codes in den Kernel des 64-bittigen Vista-Kernels erlaubte. Da das Microsoft zufolge gegen die Richtlinien zum Kernel Mode Code Signing (KMCS) verstoße, hat der Softwareriese das Zertifikat der LinchpinLabs zurückziehen lassen und eine Signatur für Windows Defender herausgegeben, die die Software als schädlich einstuft. Jetzt hat der ReactOS-Mitentwickler Alex Ionescu die Software PurplePill veröffentlicht, die laut Symantec auf einem signierten, aber fehlerhaften ATI-Treiber basiert und über diesen weiteren, auch unsignierten Code nachladen kann.

Laut Ionescus Blog-Eintrag hatte der Atsiv-Treiber einige Nachteile. So nutze er nicht die Standardmechanismen des Betriebssystem zum Laden des weiteren Codes. Dadurch könne Microsofts DRM-System die Software nicht erkennen, was ein Verstoß gegen den Digital Millennium Copyright Act (DMCA) darstelle. Außerdem habe das Unternehmen den Treiber mit seinem eigenen Schlüssel unterschrieben und sich damit ins Zwielicht gebracht. PurplePill setze hingegen auf einen Schlüssel, der auf rund der Hälfte aller Systeme im Einsatz sei. Dadurch, dass die Software offizielle Betriebssystemmechanismen zum Nachladen von Software nutze, sehe Vista die weitere Software und gebe sogar eine Warnung aus; das DRM-System könne darauf auch reagieren und den sogenannten Constriction-Modus aktivieren, wodurch hochaufgelöste Inhalte auf niedrige Auflösungen herunterskaliert werden.

Ionescus Einschätzung zufolge könne Microsoft nicht einfach das ATI-Zertifikat zurückziehen, da dadurch für zu viele Anwender der Rechner nicht mehr benutzbar wäre. Symantec glaubt, dass sich ATI ein neues Zertifikat zulegen und fehlerbereinigte, mit dem neuen Schlüssel unterschriebene Treiber via Windows Update verteilen werde, damit Microsoft später das alte Zertifikat zurückziehen könne. Der Antivirenhersteller hat außerdem Signaturen veröffentlicht, die PurplePill als Hacker-Tool erkennen.

Die veröffentlichte Version von PurplePill war noch in einem frühen Entwicklungsstadium und könnte möglicherweise für Abstürze sorgen, da die Software von fest vorgegebenen Einsprungsadressen für bestimmte Funktionen ausging. In Vista soll jedoch der Mechanismus Address Space Layout Randomization dafür sorgen, dass Einsprungspunkte von Funktionen an zufälligen Adressen erscheinen.

Den Blog-Eintrag hat Alex Ionescu inzwischen wieder gelöscht, er ist jedoch noch im Google-Cache zu finden. Auch das PurplePill-Archiv ist von Ionescus Server verschwunden. Ob dies etwa auf Drängen von Microsoft oder ATI geschah, ist bislang unklar, eine Antwort auf eine Anfrage von heise Security an Ionescu steht noch aus.

Quelle : www.heise.de

[SiLæncer]

Das Sicherheitsleck, das Alex Ionescus PurplePill zum Laden von unsigniertem Code in den Kernel der 64-Bit-Vista-Version genutzt hat, schließt AMD/ATI mit einer neuen Treiberversion. Der Fehler, der die Umgehung der in der 64-bittigen Vista-Version geltenden Kernel-Mode-Code-Signing-Richtlinie ermöglichte, war dem Hersteller zufolge nicht in den Teibern zu finden, sondern im Installer der Software.

Der AMD/ATI-Pressesprecher Jon Carvill äußerte gegenüber heise Security: "AMD hat herausgefunden, dass ein kleiner Code-Schnippsel in einer der Dateien aus unserem Installer-Paket möglicherweise verwundbar ist." Die Catalyst-Version 7.8 behebe den Fehler. AMD/ATI empfehle dringend allen Nutzern von Radeon-Grafikkarten, das Update einzuspielen. Außerdem prüften AMD/ATI und Microsoft weitere Distributionskanäle für das Update – damit meint AMD/ATI wahrscheinlich den Windows-Update-Mechanismus. Carvill deutet außerdem an, dass auch andere Hersteller eine derartige Sicherheitslücke in ihren Produkten hätten: "Die Schwachstelle betraf nicht alleine AMD." Details zur Lücke verschweigt AMD/ATI jedoch.

Unter Windows 2000 und XP hatten einige Hersteller mit der Komplexität der Rechtevergabe für Dienste zu kämpfen und dadurch Installer herausgegeben, die die Rechte falsch vergeben haben und Anwendern so die Ausweitung ihrer Zugriffsrechte ermöglichten. Microsoft veröffentlichte dagegen einen Patch. Möglicherweise handelt es sich bei dem nun gefundenen Fehler um eine ähnliche Sicherheitslücke, die Microsoft mit einem Update beheben kann.

Siehe dazu auch:

    * Download der Catalyst-Treiber in Version 7.8 -> http://ati.amd.com/support/drivers/vista64/common-vista64.html

Quelle : www.heise.de

[SiLæncer]

Neben den am gestrigen Dienstag herausgegebenen Sicherheits-Updates hat Microsoft auch einen Patch bereit gestellt, der die Kernel Patch Protection der 64-Bit-Versionen von Windows XP, Server 2003 und Vista zuverlässiger machen soll. Die manchmal auch PatchGuard gennannten Funktionen sollen den Betriebssystem-Kernel vor Manipulation durch Schadcode schützen und etwa verhindern, dass sich Trojaner und Rootkits tief im System einnisten. Unter anderem dürfen nur digital signierte Treiber mit gültigem Zertifikat in den Kernel geladen werden.

Laut Microsoft soll das Update keine Sicherheitslücken im PatchGuard schließen. Vielmehr erhöhe das Update nur Stabilität, Leistung sowie die Zuverlässigkeit. Dabei würde der Patch zusätzliche Prüfungen zur Kernel Patch Protection hinzufügen. Mit den kürzlich bekannt gewordenen Lücken im Grafikkartentreiber von ATI hätte das Update demnach nichts zu tun. Sie ermöglicht das Nachladen von unsignierten Treiber in den Kernelspace. ATI hat zwar ein Update herausgegeben, allerdings sollen die Treiber anderer Hersteller ein ähnliches Problem aufweisen. Schuld soll der verwendete Installer sein.

Siehe dazu auch:

    * Update to Improve Kernel Patch Protection, Update-Beschreibung von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/94419