Jogosultsági kockázat minden Windowsban

Megerősítette a Microsoft azt a sebezhetőséget, amelyet két nappal ezelőtt tettek közzé egy levelezési listán. A biztonsági rés a 32 bites Windowsok virtuális DOS-mód kezelésében rejlik, amelyet kihasználva a támadó kód kernelmódban tetszőleges manipulációt végezhet a rendszeren.

Az Internet Explorernek szánt soronkívüli patch mai érkezésének bejelentése mellett tegnap a Microsoft hivatalosan is megerősítette, hogy 32 bites Windows rendszerei mind támadhatóak a nyilvánosságra került sebezhetőségen keresztül, amely a virtuális DOS gépében húzódik meg - a Server Core telepítésekben is. A 64 bites rendszereket, tehát az x64 és Itanium platformokat nem érinti a probléma.

A problémát az okozza, hogy az NTVDM bizonyos kivételeket rosszul kezel, így az NTVDM-en keresztül kernelmódhoz juthat és megemelheti a kód jogosultsági szintjét. Ezt követően a támadó programokat telepíthet és futtathat, vagy tetszőleges adatokhoz férhet hozzá a rendszeren, vagy törölhet. A teljes közzététel, egy példakóddal egyetemben megtalálható a Full Disclosure levelezési listán. A felfedező állítása szerint már 2009 júniusában értesítette a Microsoftot a sebezhetőségről, amely néhány nap múlva jelezte, hogy megkapta a levelet. Ez már a sokadik alkalom, hogy a Microsoft régóta ismert hibát nem javít.

A támadás feltételezi a felhasználói szintű hozzáférést a rendszerhez, így leginkább olyan környezetben jelent kockázatot, ahol sokan hozzáférhetnek egy-egy számítógéphez, ugyanakkor fontos a jogaik korlátozása a rendszer és az adatok védelme érdekében. Egy másik kézenfekvő forgatókönyv, amikor a célgépre a felhasználó naivitását felhasználva juttatjuk be emailen vagy egy linken keresztül a támadó kódot, és rávesszük, hogy futtassa le. A kód bizonyítottan működik XP, Server 2003, Vista, Server 2008 és 7 alatt is.

Amennyiben nincs olyan alkalmazásunk, amely igényelné ezt, úgy érdemes lehet az NVDM-et kikapcsolni. Ezt Active Directoryn keresztül vagy gépenként a csoport házirend szerkesztővel, a gpedit.msc futtatásával tudjuk megtenni (video alább), vagy szerkeszteni kell a regisztrációs adatbázist, mégpedig a [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\] útvonalon létre kell hozni egy új kulcsot "AppCompat" néven, amelybe el kell helyezni egy "VDMDisallowed" duplaszót, "1" értékkel.

A Windows Virtual Dos Machine (NTVDM) több mint másfél évtizeddel ezelőtt bukkant elő a Microsoft konyhájáról, hogy a teljesen új, 32 bites kernellel rendelkező NT rendszere is képes legyen 16 bites DOS programokat futtatni. Az NTVDM azóta is része a 32 bites Windowsoknak, így a Windows 7 is tartalmazza.