Microsoft sperrt 64-Bit-Treiber aus
Microsoft hat von den Möglichkeiten der 64-Bit-Version von Vista Gebrauch gemacht, um einen unerwünschten Treiber auszusperren. Die Treibersignierung dient dabei als Aussperrungsmechanismus.
Die 64-Bit-Version von Windows Vista verlangt eine digitale Unterschrift für sämtliche Treiber, die im Kernel-Modus laufen. Nun hat Microsoft das Zertifikat des Atsiv-Treibers auf die Sperrliste gesetzt und den Treiber damit vom System ausgesperrt. Zusätzlich haben die Redmonder für die Anti-Spyware-Lösung Windows Defender eine Signatur für den Treiber veröffentlicht, die ihn als unerwünschte Software identifiziert.
Der von den LinchpinLabs entwickelte Atsiv-Treiber dient einzig und allein dazu, weiteren Code – sowohl signierten als auch unsignierten – nachzuladen und im Kernel-Kontext auszuführen. Dazu hat das Unternehmen den Treiber mit einem Zertifikat von Verisign ausgestattet. In einem Eintrag in Microsofts Vista-Security-Blog schreibt Windows Security Architect Scott Field, dass die Software gegen die Richtlinien zum Kernel Mode Code Signing (KMCS) verstoße, die eben im 64-bittigen Vista nur signierten Code im Kernel zuließen. Der Atsiv-Treiber stelle auch Möglichkeiten bereit, weiteren Code so in den Kernel zu laden, dass die offiziellen Schnittstellen wie EnumDeviceDrivers() ihn nicht sehen könnten und könne so dazu missbraucht werden, das System komplett zu kompromittieren.
Field sieht in KMCS selbst keine Sicherheitsbarriere, sondern lediglich einen weiteren Teilaspekt des Sicherheitskonzepts, da KMCS nicht überprüfen könne, ob der vorliegende Code gute oder böse Absichten habe. Durch KMCS lasse sich jedoch der Autor des Codes ermitteln und gebe Microsoft damit Gelegenheit, zum Beispiel Probleme mit von der Software provozierten Abstürzen im Rahmen der Microsoft Online Crash Analysis im direkten Austausch anzugehen. Der Mechanismus stelle also ein Vertrauensmodell dar. Beim Atsiv-Treiber habe sich bewiesen, dass es funktioniere: Der Autor des Treibers war nicht anonym und der Atsiv-Treiber selbst wurde erfolgreich auf Integrität überprüft, also darauf, dass er nicht verändert wurde.
Aufgrund des Verstoßes gegen die KMCS-Richtlinien habe Microsoft jedoch bei Verisign den Rückzug des verwendeten Zertifikats angestoßen, damit der Treiber sich nicht mehr installieren lässt; weiterhin wolle man das Zertifikat auf die Kernel-Liste gesperrter Zertifikate setzen, damit der Treiber nach einem Neustart nicht mehr geladen wird. Die Defender-Signatur soll schließlich dafür sorgen, dass Anwender den Treiber entdecken und von der Festplatte entfernen können.
Aus den Kommentaren zu dem Blog-Eintrag geht hervor, dass viele Anwender sich nun sorgen, die Kontrolle über ihren Rechner an Microsoft beziehungsweise an die Zertifizierungsstellen wie Verisign abzugeben, die als Software-Polizei auftreten würden. Für das Vista-DRM-System Protected Environment, das einen einbruchsicheren Korridor für High-Definition-Multimedia-Daten bieten soll, hat Microsoft ein derartiges Verhalten jedoch bereits deutlich angekündigt.
Siehe dazu auch:
- x64 Driver Signing Update, Eintrag in Microsofts Vista-Security-Blog
(dmk)
