Symantec identifica las debilidades de seguridad de Vista
Symantec ha elaborado un informe indicando algunas vulnerabilidades en los mecanismos de protección integrados en el kernel de la versión beta de Windows Vista. Entre ellas, la estrecha integración de la protección de las copias de contenido, una capacidad también conocida como gestión de derechos digitales o DRM, en el sistema operativo.
El informe, publicado con el título “Assessment of Windows Vista Kernel-Mode Security” (Valoración de la seguridad de Windows Vista a nivel de Kernel), es el tercer –y último- de Symantec sobre los mecanismos de seguridad de Vista. Los dos anteriores cubrieron la seguridad a nivel de usuario y a nivel de networking, y todos ellos se centran en la edición de 64 bits de la plataforma, dado que, según Symantec, la mayoría de las nuevas características de seguridad están disponibles solo en esta versión.
“Las mejoras de seguridad del Kernel de Vista son importantes, lo que resulta en una drástica reducción de su vulnerabilidad ataques”, asegura Matthew Conover, autor del informe e investigador de seguridad de Symantec. “Sin embargo, hemos identificados ciertas debilidades que pueden ser aprovechadas por códigos maliciosos para socavar los mecanismos de protección”.
Entre las mejoras, cabe destacar, según Conover la introducción de firma driver (driver signing) obligatoria; PatchGuard, mecanismo que previene la aplicación de parches sobre el núcleo del sistema operativo; revisiones de integridad en modo kernel; soporte de carga segura con chips TPM (Trusted Platform Module); y restricciones para el acceso en modo usuario a ciertas áreas del sistema operativo. “Estos mecanismos pueden securizar el kernel de la edición de 64 bits de Windows Vista a un nivel importante, incluso si se compara con Linux y Mac OS X”.
Pero los investigadores de Symantec aseguran haber podido deshabilitar tanto la característica “driver signing” como los sistemas de integridad de código mediante un proceso de parcheo de WINLOAD.EXE y CI.DLL. “Una vez que la primera funcionalidad queda fuera de funcionamiento, puede cargarse un driver malicioso sin firma”. Y este driver desautorizado podría ocultar las modificaciones a las herramientas en modo usuario.
Además, Symantec indica que la funcionalidad Code Integrity –CI.DLL es descrita por Microsoft como una herramienta de seguridad, pero, en realidad, es parte de la plataforma DRM del fabricante. “CI.DLL esta desarrollada por el equipo DRM de Microsoft”, indica Conover. “En realidad, DRM está codificada dentro de Windows Vista”. Una de las implicaciones de esta integración es que los usuarios no pueden correr Windows Vista sin DRM a menos que renuncien a las capacidades de control de integridad de Vista. “Como resultado, deben elegir entre tener DRM y abrir sus puertas a determinadas vulnerabilidades o renunciar a las mejoras relacionadas con el control de la integridad”.
Otro potencial problema está relacionado con el hecho de que no exista aún en el producto un mecanismo para la revocación de certificados –algo que resultaría de especial utilidad si un certificado legítimo fuera robado o comprometido de alguna otra manera. Sin embargo, esta capacidad de revocación está siendo desarrollada por Microsoft, según la compañía..
Por su parte, Microsoft ha celebrado la aparición del informe, pero lo considera obsoleto, asegurando que estudia Windows Vista Community Technical Preview (CTP) Build 5365, lanzado en abril, y que, desde entonces, ya se han resuelto la mayoría de los problemas recogidos en el trabajo de Symantec.
“Las mejoras de seguridad del Kernel de Vista son importantes, lo que resulta en una drástica reducción de su vulnerabilidad ataques”, asegura Matthew Conover, autor del informe e investigador de seguridad de Symantec. “Sin embargo, hemos identificados ciertas debilidades que pueden ser aprovechadas por códigos maliciosos para socavar los mecanismos de protección”.
Entre las mejoras, cabe destacar, según Conover la introducción de firma driver (driver signing) obligatoria; PatchGuard, mecanismo que previene la aplicación de parches sobre el núcleo del sistema operativo; revisiones de integridad en modo kernel; soporte de carga segura con chips TPM (Trusted Platform Module); y restricciones para el acceso en modo usuario a ciertas áreas del sistema operativo. “Estos mecanismos pueden securizar el kernel de la edición de 64 bits de Windows Vista a un nivel importante, incluso si se compara con Linux y Mac OS X”.
Pero los investigadores de Symantec aseguran haber podido deshabilitar tanto la característica “driver signing” como los sistemas de integridad de código mediante un proceso de parcheo de WINLOAD.EXE y CI.DLL. “Una vez que la primera funcionalidad queda fuera de funcionamiento, puede cargarse un driver malicioso sin firma”. Y este driver desautorizado podría ocultar las modificaciones a las herramientas en modo usuario.
Además, Symantec indica que la funcionalidad Code Integrity –CI.DLL es descrita por Microsoft como una herramienta de seguridad, pero, en realidad, es parte de la plataforma DRM del fabricante. “CI.DLL esta desarrollada por el equipo DRM de Microsoft”, indica Conover. “En realidad, DRM está codificada dentro de Windows Vista”. Una de las implicaciones de esta integración es que los usuarios no pueden correr Windows Vista sin DRM a menos que renuncien a las capacidades de control de integridad de Vista. “Como resultado, deben elegir entre tener DRM y abrir sus puertas a determinadas vulnerabilidades o renunciar a las mejoras relacionadas con el control de la integridad”.
Otro potencial problema está relacionado con el hecho de que no exista aún en el producto un mecanismo para la revocación de certificados –algo que resultaría de especial utilidad si un certificado legítimo fuera robado o comprometido de alguna otra manera. Sin embargo, esta capacidad de revocación está siendo desarrollada por Microsoft, según la compañía..
Por su parte, Microsoft ha celebrado la aparición del informe, pero lo considera obsoleto, asegurando que estudia Windows Vista Community Technical Preview (CTP) Build 5365, lanzado en abril, y que, desde entonces, ya se han resuelto la mayoría de los problemas recogidos en el trabajo de Symantec.
