Microsoft выступает против обхода PatchGuard производителями ПО

Microsoft официально выразила своё недовольство тем фактом, что поставщик ПО для обеспечения безопасности Authentium, решил обойти спорную технологию ОС следующего поколения - PatchGuard, и добавил что данная тактика, может привести в будущем к возникновению проблем у пользователей продукта данной компании...

Также в Рэдмонде заявили, что данная практика бессмыслена, так как кампания работает над тем, чтобы защитить ядро от любых неправомочных действий.

В результате, пользователи таких программ не могут себя чувствовать в полной безопасности из-за имеющейся дыры в интеграции ОС и программы.

"Microsoft исправила все существующие на данный момент варианты обхода PatchGuard. В данный момент мы не имеем информации о возможных путях обхода данной технологии в последних билдах Vista" - заявила Адриэн Робинсон, директор отдела технологий безопасности.

"Если будет найдена уязвимость в технологии защиты ядра от неавторизированного кода, то патч будет выпущен как обычное обновление в рамках программы Microsoft Security Response Center".

Также Робинсон заявила, что утилиты, использующие обход PatchGuard, могут снизить возможности программ, установленных на компьютере с Vista, по обнаружению руткитов и иного вредоносного ПО.

"Чтобы сохранить целостность безопасности ОС, разработчики должны использовать API, которые предоставит Microsoft, или создать свои методы интеграции с PatchGuard" - добавила Робинсон.

И хотя выход Vista на рынок ожидается не раньше ноября, PatchGuard уже давно используется в 64-битных версиях Windows XP и 2003.

"Мы поощряем компании на совместную работу по созданию механизмов взаимодействия с Kernel Patch Protection, чтобы быть уверенными в надёжности 64-битных Windows-систем. Это лучше, чем подвергать пользователя опасности продуктов с механизмом обхода Kernel Patch Protection, вследствие чего может снизиться безопасность работы" - заявила Робинсон.

Суть PatchGuard стала причиной больших дебатов между Microsoft и разработчиками ПО для обеспечения безопасности.

Некоторые компании, в том числе такие лидеры как Symantec и McAfee, жаловались, что данная технология мешает взаимодействию их передовых разработок и ОС.

PatchGuard призван блокировать внедрение в ядро разных программ - технику, используемую в ПО по обнаружению вторжений, и хакерами - для руткитов.

Symantec и McAfee заявили, что это снизит эффективность работы их ПО, но Рэдмонд заявил о выпуске API, который позволит работать антивирусам без внедрения себя в ядро.

Authentium взял дело в свои руки, заявив, что, будет работать с новым API, но вместе с тем продолжит разработку продуктов обходящих PatchGuard, чтобы предоставить своим пользователям свои продукты сразу после выпуска Vista.

Пока рынок наблюдает за тем шумом, который поднимает Symantec и McAfee по поводу PatchGuard, и выходом Microsoft на рынок ПО для обеспечения безопасности, руководители Authentium заявили, что единственная их цель - обеспечение соответствующей безопасности пользователей.

"PatchGuard - это очень хорошая идея, но мы не можем позволить себе ждать пока Рэдмонд предоставит нам API, нашим продуктам необходимо иметь доступ к ядру. Мы не будем требовать от Microsoft выпуска абсолютно целостного продукта, чтобы мы могли работать, но, безусловно, найдутся хакеры, которые взломают PatchGuard. Наше решение по обходу PatchGuard может показаться попыткой навредить и Microsoft будет выпускать патчи, закрывая возможные способы обхода, и мы, как следствие, будем вынуждены заниматься реверсным инженирингом, но основная наша цель, как я уже говорил, - защита пользователя и это то, над чем мы сейчас работаем" - заявил Кори О`Доннелл, вице президент по маркетингу компании Authentium.

Если какая-либо программа на компьютере с работающим PatchGuard пытается внести изменения в ядро - вы тут же увидите BSOD (Blue Screen Of Death) и работа всех программ будет приостановлена.

Authentium заявил, что они нашли способ доступа к ядру, при котором не происходит остановка ОС.

Компания заявила, что достигла этого, использую элемент ядра ОС, который создан для поддержки устаревшего оборудования, который позволяет обходить PatchGuard.

Лазейка позволяет драйверу антивируса компании внедриться в ядро, причём ОС об этом не подозревает.

Authentium не единственная компания, которая ищет способы обхода PatchGuard. Исследовательская группа Metasploit Project опубликовала в электронном издании Uninformed.org статью, в которой исследуется несколько способов обхода PatchGuard.

Источник: http://www.eweek.com
Перевод: prymara