Lila Pille gegen Vistas 64-Bit-Treibersignierung

Nachdem Microsoft das LinchpinLabs-Zertifikat zurückgezogen hat, da deren Treiber das Nachladen unsignierten Codes in den 64-Bit-Vista-Kernel erlaubte, hat Alex Ionescu mit PurplePill eine ähnliche Software veröffentlicht.

In Pocket speichern vorlesen Druckansicht 182 Kommentare lesen
Lesezeit: 3 Min.
Von

Die LinchpinLabs hatten mit dem Atsiv-Treiber eine Software entwickelt, die mit dem Schlüssel des Unternehmen unterschrieben war und das Nachladen beliebigen Codes in den Kernel des 64-bittigen Windows Vista erlaubte. Da das Microsoft zufolge gegen die Richtlinien zum Kernel Mode Code Signing (KMCS) verstoße, hat der Softwareriese das Zertifikat der LinchpinLabs zurückziehen lassen und eine Signatur für Windows Defender herausgegeben, die die Software als schädlich einstuft. Jetzt hat der ehemalige ReactOS-Mitentwickler Alex Ionescu die Software PurplePill veröffentlicht, die laut Symantec auf einem signierten, aber fehlerhaften ATI-Treiber basiert und über diesen weiteren, auch unsignierten Code nachladen kann.

Laut Ionescus Blog-Eintrag hatte der Atsiv-Treiber einige Nachteile. So nutze er nicht die Standardmechanismen des Betriebssystems zum Laden des weiteren Codes. Dadurch könne Microsofts DRM-System die Software nicht erkennen, was ein Verstoß gegen den Digital Millennium Copyright Act (DMCA) darstelle. Außerdem habe das Unternehmen den Treiber mit seinem eigenen Schlüssel unterschrieben und sich damit ins Zwielicht gebracht. PurplePill setze hingegen auf einen Schlüssel, der auf rund der Hälfte aller Systeme im Einsatz sei. Dadurch, dass die Software offizielle Betriebssystemmechanismen zum Nachladen von Code nutze, sehe Vista die weitere Software und gebe sogar eine Warnung aus; das DRM-System könne darauf auch reagieren und den so genannten Constriction-Modus aktivieren, wodurch hochaufgelöste Inhalte auf niedrige Auflösungen herunterskaliert werden.

Ionescus Einschätzung zufolge könne Microsoft nicht einfach das ATI-Zertifikat zurückziehen, da dadurch für zu viele Anwender der Rechner nicht mehr benutzbar wäre. Symantec glaubt, dass sich ATI ein neues Zertifikat zulegen und fehlerbereinigte, mit dem neuen Schlüssel unterschriebene Treiber via Windows Update verteilen werde, damit Microsoft später das alte Zertifikat zurückziehen könne. Der Antivirenhersteller hat außerdem Signaturen veröffentlicht, die PurplePill als Hacker-Tool erkennen.

Die veröffentlichte Version von PurplePill war noch in einem frühen Entwicklungsstadium und könnte möglicherweise für Abstürze sorgen, da die Software von fest vorgegebenen Einsprungsadressen für bestimmte Funktionen ausging. In Vista soll jedoch der Mechanismus Address Space Layout Randomization dafür sorgen, dass Einsprungspunkte von Funktionen an zufälligen Adressen erscheinen.

Den Blog-Eintrag hat Alex Ionescu inzwischen wieder gelöscht, er ist jedoch noch im Google-Cache zu finden. Auch das PurplePill-Archiv ist von Ionescus Server verschwunden. Ob dies etwa auf Drängen von Microsoft oder ATI geschah, ist bislang unklar, eine Antwort auf eine Anfrage von heise Security an Ionescu steht noch aus.

Siehe dazu auch:

(dmk)