Securitybedrijf claimt PatchGuard omzeild te hebben

Maker van beveiligingssoftware Authentium claimt dat het een nieuwe versie van zijn ESP Enterprise-software ontwikkeld heeft, die in staat is de PatchGuard-kernelafscherming uit Windows Vista te omzeilen. Terwijl onder andere Kaspersky Microsoft steunt in het besluit om kernelhooks niet meer toe te laten, stellen Symantec en McAfee dat het werken hen hierdoor onmogelijk gemaakt wordt. Microsoft is echter vastbesloten om kerneltoegang via nauwgezet afgebakende API's te laten verlopen en dat werkt volgens Sophos uitstekend. Authentium besloot naar eigen zeggen echter om, in plaats van de media op te zoeken, de koe bij de horens te vatten en zelf aan de slag te gaan.

Vista / Beveiligd / Afgeschermd Het bedrijf zegt zelf de API's nog niet bestudeerd te hebben, maar meteen een workaround voor PatchGuard ontwikkeld te hebben om zijn software compatibel te maken met Windows Vista. Deze bescherming zorgt ervoor dat de computer volledig bevriest op het moment dat een programma aanpassingen in de kernel probeert door te voeren, maar daar zou Authentium een oplossing voor gevonden hebben. De vice-president van het bedrijf, Corey O'Donnell, is ervan overtuigd dat hackers deze omzeiling zullen kunnen nabootsen, maar of hij Microsoft ingelicht heeft over de mogelijke kwetsbaarheden van PatchGuard zodat het bedrijf hieraan kan werken, deelde hij niet mee.

Reacties (45)

engelbertus 26 oktober 2006 00:39

tja wil je ongeoorloofd gerommel in de kernell voorkomen dan is daar een maatregel voor nodig die dat ook echt onmogelijk maakt. hackers trekken zich niets aan van de afsoraak dat dat niet mag, en alleen via apis mag.
maar een bedrijf met software doet nu dus eigenlijk iets dat verboden is door microsoft.

die software kan dus niet goedgekeurd worden door microsoft. de drivers hiervoor ook niet , en het kan dus zo zijn dat deze software dan ook niet geinstalleerd kan worden omdat de driver niet gesigned is?

mijns inziens is een virusscanner die zichzelf alle tijd opeist om aan de krnel te rotzooien, en dus mijn ciomputer erg traag maakt, omdat mijn werk geen voorrang krijgt, nogal dubieus.

werk je via de api's dan verdeel je alles netjes en beheersbaar.

ik gok dat je best dingen in de kernel kunt aanpassen, maar dan alleen als je gesignde code toevoegt oid, dus de kernel kan gepatched worden.
dus zodra er een exploit in de kernel of de api's zit worden die wel weer gepatched, en is het nog steeds voldoende voor virusscanners om via de api's te werken.

een virus krijgt immer gewoonweg niet toegang tot de kernel dus kan die die ook niet verne*ken. of de pc bevriest, wat infectie voorkomt. het is dan de vraag of er dan nog iets met de pc aan te vangen is om het probleem op te lossen als de pc steeds bevriest als je hem aanzet.

ronny @engelbertus • 26 oktober 2006 08:58

Tot zo ver de theorie en dan nu de praktijk.
Ten eerste heeft een virus scanner geen driver en die hoeft dus ook niet gecertificeerd te zijn. Daarnaast heeft alleen x64 de verplichting om drivers te certificeren.

Verder is er een omweg gevonden. Dus ook als je certificering vereist en je by-passed de controle kun je dus toch gewoon verder werken.
En als je niet via de API's werkt waarom zou het systeem langzamer werken als rechtstreeks

Het werken via API's heeft niets met werkverdeling te maken maar meer met controleerbaarheid.

Verder denk jij dat een virus geen toegang heeft tot de kernel omdat MS dat zegt.
HAHAHA dat is wel heel erg lachwekkend.
Het feit dat jij zegt dat de kernel gepachted kan worden geeft al aan dat er wel ingangen zijn. Het is alleen de vraag hoe de controles te omzeilen of voor de gek te houden.
Als jij als restricted user werkt heb je ook geen rechten om dingen te installeren, toch zijn er genoeg exploids om daar een oplossing voor te vinden om toch meer rechten te krijgen.
Zo zijn er rootkits die de volledige windows in een Virtuele Machine plaatsen om zo alles te kunnen afvangen en toch niet ontdekt worden. Op die manier heb je dus ook van buitenaf toegang tot de kernel waar voor windows is gestart helemaal niets mee kan controleren. Zo zijn er vast nog veel meer manieren om de boel te verzieken.

Justice @engelbertus • 26 oktober 2006 10:38

Hackers trekken zich niets van de apis aan, maar goede developers wel. Het is dan dus makkelijk voor beveiligigingsoftare om alles dat niet via de api verloopt aan te wijzen als verdacht of hacking-software, inclusief deze omzeiling.

Verwijderd @engelbertus • 26 oktober 2006 11:58

De manier van driver signing heeft geen controle van microsoft (niet direct)
Je hebt een signature nodig van een bekende signature leverancier zoals verisign, download een cross-certificate van microsoft's site en dan signeer je je driver met behulp van die 2 certificaten en alleen de verisign server wordt om confirmatie gevraagd (timestamp gedeelte)

Het enigste dat microsoft kan doen in dit geval is een patch uitbrengen die jouw signature blokkeert (en je vervolgen omdat ze kunnen achterhalen wie je bent)

Verwijderd 25 oktober 2006 17:02

Voila! Was wachten op dit.... Dit toont wel aan dat je zelf met de beste programmeurs ter wereld en zeeen van tijd nog steeds iets niet 100% waterdicht kunt maken: de complexiteit van een dergelijk systeem is zodanig dat een compleet overzicht van potentiele gevaren/afhankelijkheden nagenoeg onmogelijk is....

BramT @Verwijderd • 25 oktober 2006 17:06

Ik zou nog maar even geen conlusies trekken. Voorals nog staat er iemand wat te roepen en hebben we nog niks echt 'gezien'.

Als het overigens zo zou zijn is het vrij dom om je software hiervan afhankelijk te maken. Bugs worden namelijk vroeg of laat opgelost

4VAlien @Verwijderd • 25 oktober 2006 17:35

In root mode is alles te slopen, gewoon omdat je alle privileges hebt om dingen stuk te maken. De vraag is hoe moeilijk het is om aan die privileges te komen als je ze initieel niet hebt

Verwijderd @Verwijderd • 25 oktober 2006 17:40

de complexiteit van een dergelijk systeem is zodanig dat een compleet overzicht van potentiele gevaren/afhankelijkheden nagenoeg onmogelijk is....

Omdat er namelijk steeds een fundamentele denkfout gemaakt wordt en dat is dat de software al op het systeem is geinstaleerd.

Ze zouden er meer inspanning in moeten steken om te zorgen dat er geen software op de computer geinstaleerd kan worden en dat die software aan bepaalde eisen moet voldoen (bijvoorbeeld een geldig certificaat van de maker). Software geencrypt met behulp van certificaten distribueren en dan alleen gecertificeerde software installeren zou al 99,999999% van de problemen voorkomen.

Op die manier heb je ook geen virus scanner meer nodig en kan je alle spyware ook wel vergeten.

Verwijderd @Verwijderd • 25 oktober 2006 17:52

Wat lachwekkend optimistisch ben jij zeg... Geen spyware meer als alle software gecertificeerd moet zijn?

Ik denk dat een spyware-bouwer meer geld heeft om zo'n certificaat te kopen dan een open-source-project. Leuk man, wel gecertificeerde spyware maar geen vrije software meer.

Terracotta @Verwijderd • 25 oktober 2006 17:50

Maar dan krijg je problemen, want dit is namelijk wel wat er in de linux wereld vooral gebeurd: je hebt repositories die de software bevatten. Maar dan willen mensen per se dat onguur poker spel spelen van op internet, dus dan pakken ze windows want die reclameert ni. Als ze alles toedoen dan krijgen ze ofwel veel macht als het wel aanslaat, of ze verliezen een groot marktaandeel.

Verwijderd @Verwijderd • 25 oktober 2006 19:07

Mja, hetgene waar ik me nog steeds het meeste aan erger is dat Microsoft meer aandacht schenkt aan het DRM gedeelte van Windows Vista dan de veiligheid ervan.

Doelend waarop?

Dat we over het algemeen veel meer horen over de DRM implementatie dan de implementatie van de veiligheids maatregelen.

Defspace @Verwijderd • 25 oktober 2006 22:02

Sorry hoor maar Microsoft wou juist in Longhorn(vista) uitgebreide ondersteuning voor palladium (NGSCB, Next Generation Secure Computing Base) inbakken maar heeft hier vanwege druk uit de markt en van de consumenten(organisaties) van afgezien.

Door palladium soft- en hardware ondersteuning zou je absoluut van een boel veiligheidsproblemen verlost zijn alleen vinden mensen het (imo wel terecht) "eng".
Ook al riep Microsoft dat je het niet hoefde te gebruiken vonden "we" het toch beter om het niet te hebben...

zzzzap @Defspace • 26 oktober 2006 08:30

Maar ondertussen wordt wel door bijna elke fabrikant de TPM chip op het moererbord gesoldeerd.
Dus ergens volgend jaar op een onbewolkte Patch-Tuesday komt er een mooie update uit Redmond en dan...

magel725 25 oktober 2006 17:43

Valt dit niet onder hacken? Ze dringen een afgeschermd stuk van de pc binnen en volgens mij mag dat niet.

Ik vind het nogal wat om te vertrouwen op software die zelf al twijfelachtig bezig is, en eveneens kan die software het elk moment begeven, wanneer die afhankelijk zijn van een bug.

Verwijderd @magel725 • 25 oktober 2006 18:20

Valt dit niet onder hacken? Ze dringen een afgeschermd stuk van de pc binnen en volgens mij mag dat niet.

Alsof de malware en virus schrijvers daar rekening mee houden... Feit dat het nu reeds op korte tijd kan bevestigt alleen maar dat Vista weer een Windows versie gaat zijn die binnen de korste keren een even grote kaas met gaten is als XP nu...

Verwijderd @Verwijderd • 25 oktober 2006 19:03

Wat een onzin.
Bij ons op de afdeling starten we jaren geleden allerlei applicaties op vanuit InternetExplorer. Dat was super handig! Maar tegenwoordig kan dat niet meer, omdat dit ook gebruikt kon worden voor installatie van malware.

userbase is gewoon de belangrijkste oorzaak van het ontstaan van exploits.
Een programma zonder users heeft nooit exploits!

Als linux net zo intensief gebruikt zou worden als Windows, zouden de exploits je ook om de oren vliegen..

Als Firefox net zo intensief gebruikt zou worden als IE zouden de exploits je ook om de oren vliegen.

Het is echt niet zo dat Windows programmeurs dommer of minder begaafd zijn als Linux programmeurs of de programmeurs van Google o.i.d.

mae-t.net @Verwijderd • 25 oktober 2006 22:32

Het gaat niet om de begaafdheid van de programmeurs, het gaat om het basisontwerp van OS en applicatie. Zodoende zouden er in jouw scenario wel iets meer exploits verschijnen als linux een stevige userbase onder consumenten had, maar lang niet zoveel als jij verwacht.

MBV @Verwijderd • 26 oktober 2006 12:28

Het belangrijkste verschil tussen linux en windows was altijd dat je standaard niet als root werkt, maar als user. Dat is in vista verholpen, schijnt. Dan kom je aan bij het open source zijn van de kernel, waardoor dingen 'netter' worden gedaan. Eigenlijk geloof ik dat niet zo sterk.
Zowel in Linux als in Windows is veiligheid er achteraf aan gebouwd, waardoor je altijd exploits zal hebben.

daft_dutch @magel725 • 26 oktober 2006 17:13

tuurlijk. Hacken is "iets gebruiken op een manier waar het niet voor bedoeld is"
Authentium gebruikt iets in vista waardoor dat Authentium toegang geeft tot de kernel. En dat is zeer waarschijnlijk niet door Microsoft zo bedoeld.

Anthor 25 oktober 2006 20:12

Deze bescherming zorgt ervoor dat de computer volledig bevriest op het moment dat een programma aanpassingen in de kernel probeert door te voeren

Handig,
Als je nu een virus maakt dat zichzelf eerst verspreidt, en dan probeert de kernel aan te passen, dan heb je toch ongeveer hetzelfde effect als dat virus dat windows steeds rebootte?

Dennizz @Anthor • 26 oktober 2006 08:02

mjah, punt is echter dat je de kernel niet kunt aanpassen. Na de reboot is de kernel dus weer hersteld imho. Om andere pc's te kunnen infecteren zul je dus op een programma moeten meeliften oid ? Als een geinfecteerde pc geen andere pcs kan infecteren, heb je geen virus.

killercow 25 oktober 2006 21:21

Je hele pc bevriest zodra iets aan je kernel probeert te komen?

WTF?

Op linux zou dat een local ddos exploit heten, en direct gefixed worden, maar op windows is het (niet lachen) een feature!

Verwijderd @killercow • 26 oktober 2006 09:46

Nee, in linux heb je als root gewoon kerneltoegang en kan je de boel ook grondig slopen. Microsoft probeert hier in alle gevallen de kerneltoegang in windows te beperken. Toch wel twee verschillende gevallen lijkt me.

darkfader @killercow • 25 oktober 2006 22:35

Van een bluescreen kijkt toch niemand meer op.
Het is ook om malware-ontwikkelaars te ontmoedigen denk ik. Ik vraag me af hoe Vista tegen (kernel)debuggers aankijkt. Misschien heb je daar een speciale versie voor nodig.

dr snuggles 25 oktober 2006 17:05

Het bedrijf zegt zelf de API's nog niet bestudeerd te hebben, maar meteen een workaround voor PatchGuard ontwikkeld te hebben

Hoe eigenwijs kun je zijn zeg.

Microsoft ontwikkelt mooie geoptimaliseerde API's voor bedrijven om te gebruiken wat hen tijd zou moeten schelen en Windows minder crash gevoelig maakt. Wat doen zij? Zij gaan het weer omzeilen.

RedLizard @dr snuggles • 25 oktober 2006 22:29

Het erge is, dat moet ook wel. De API's zij by design ontoereikend.

De API mag nog zo mooi en volledig zijn, het probleem is dat software die PatchGuard wel omzeilt, veel meer controle heeft over het systeem dan software die netjes de API gebruikt. Een virus kan dus vrij gemakkelijk een virusscanner buitenspel zetten door zelf wel PatchGuard te omzeilen. De enige manier om dat tegen te gaan is de virusscanner ook om PatchGuard heen laten werken.

Dat is ook de reden dat dat hele PatchGuard een slecht idee is. Het is net als de brakke kopieerbeveiligingen op veel muziek en games; de gekraakte versie is van betere kwaliteit dan het origineel, zodat mensen de gekraakte versie gaan gebruiken. Hiermee schiet je jezelf natuurlijk gruwelijk in de voet.

BramT @dr snuggles • 25 oktober 2006 17:07

Dit heeft verder niks met de API's te maken. Het hele punt is dat als zij het zouden kunnen, hackers er vroeg of laat ook wel achterkomen.

humbug @BramT • 25 oktober 2006 17:31

Hackers komen er inderdaad toch wel achter, maar dit "bedrijf" maakt haar product "Vista compatible" door een beveiligingsfunctie van Vista te hacken. Hoe lang denk je dat het duurt voordat dit product niet meer op Vista werkt?

Logisch is om eerst de API maar eens te gaan bekijken en als die (zoals met name mcAfee beweerd) ontoerekend is bij Microsoft te gaan lobbyen voor een uitgebreidere API. Niet om precies datgene te gaan doen wat Microsoft expliciet onmogelijk wil maken.

Dutch2007 25 oktober 2006 17:02

en toen was er hier weer een update voor van microsoft en dan werkt je programma niet meer..

of nog erger... je kan de patch niet installeren want dan pas je iets aan de kernel en dan bevriest je pc... : lekker

Verwijderd @Dutch2007 • 25 oktober 2006 18:21

Moeten ze de patch maar installeren met deze omzeiling

ikwilhet 25 oktober 2006 17:08

Als Microsoft toch een API gaat ontwikkelen waarmee je PatchGuard kunt omzeilen, wat is er dan zo shocking aan dit bericht?

BramT @ikwilhet • 25 oktober 2006 17:11

Met die API omzeil je PatchGuard ook helemaal niet. Die API stelt je enkel in staat om te doen waar je 'normaal gesproken' de kernel-hooks voor nodig hebt. Die kernel-hooks mogen nu dus niet meer (want geen controle op en dus interessant voor malware). Via de API is nu wel vanalles mogelijk, maar het wordt eerst 'gecontroleerd' voordat het naar de kernel gaat als het ware.

KoalaBear84 @ikwilhet • 25 oktober 2006 17:12

Niet veel, maar als jij als securitybedrijf nog 1-2 jaar wil wachten op de API's dan schiet het ook niet op.

Dat is wat Microsoft zegt dat ze aan tijd nodig hebben om het allemaal te fixxen.

Verwijderd 25 oktober 2006 21:07

Ik vind het fantastisch dat dit zo naar buiten komt. Als ze niks hadden gezegd dan hadden hackers het wel ontdekt. Nu kan microsoft er nog wat an doen.

Als ik Microsoft was zou ik deze bedrijf vragen hoe ze het gedaan hebben en ik zou er wat van leren want blijkbaar na al die jaren kan microsoft nog niks goed beveiligen. Geen flame richting Microsoft maar na al die jaren, na al die patches, zou je toch verwachten dat ze geleerd hebben van al die fouten.

SuperDre @Verwijderd • 26 oktober 2006 17:26

Ja misschien wel, maar er zijn meer mensen die ook jaren ervaring hebben in het hacken van dit soort dingen..
Reken er maar op dat Linux en MacOS net zo lek zijn als Windows Vista, alleen zijn er meer hackers geinteresseerd in het hacken van windows omdat daar meer gewone gebruikers op zitten dan in die andere.. Als hackers net zoveel aandacht besteden aan Linux of MacOS dan zouden er minstens zoveel lekken gevonden worden..

Verwijderd 26 oktober 2006 09:40

Laten we eerst maar eens afwachten of het verhaal ook daadwerkelijk waar is. Er zijn in het verleden al meer bedrijven geweest die marketing bedreven door met nieuws te komen over exploits en vulnerabilities die uiteindelijk helemaal niet waar bleken te zijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (45)

Sorteer op:

Weergave: