Microsoft vs Core Security - spór o dziurę w wirtualnym Windows

Specjaliści z firmy Core Security twierdzą, że w oprogramowaniu Microsoftu jest luka, umożliwiająca włamywanie się do systemów Windows uruchomionych w wirtualnych maszynach. Koncern z Redmond nie zamierza jednak przygotować łaty, ponieważ jego zdaniem żadnego błędu nie ma.

Przedstawiciele Core Security oficjalnie poinformowali o wykryciu owego błędu przedwczoraj. Zwlekali z tym siedem miesięcy - lukę znaleźli we wrześniu ubiegłego roku i wtedy też powiadomili o niej pracowników Microsoftu. Ale koncern do dziś nie rozwiązał problemu i wygląda na to, że na razie nie zamierza tego robić.

"Microsoft nie uważa tego problemu za lukę w zabezpieczeniach - ich zdaniem żadna poprawka nie jest w tej chwili potrzebna. Powiedzieli nam, że być może zrobią coś z tą usterką w jakimś kolejnym service packu. Naszym zdaniem to poważny błąd - tę lukę należy usunąć jak najszybciej" - mówi Ivan Arce, szef działu technicznego Core Security.

Microsoft faktycznie przyznał, że nie traktuje problemu z oprogramowaniem Virtual PC, Virtual PC 2007 oraz Virtual Server 2005 jako błędu w zabezpieczeniach - "Funkcja, o której mówią przedstawiciele Core, to nie jest błąd jako taki. Oni opisali po prostu pewną teoretyczną metodę ataku, w którym musi zostać wykorzystany jakiś inny błąd w zabezpieczeniach - to raczej pewien sposób wykorzystania innych błędów, niż luka jako taka. Zdaje sobie sprawę z tego, że na pierwszy rzut oka różnica jest dość subtelna - ale właściwe rozróżnienie tych dwóch spraw jest bardzo ważne" - komentuje Paul Cooke, jeden z dyrektorów działu odpowiedzialnego za bezpieczeństwo produktów Microsoftu.

Opisany przez Core Security błąd umożliwia "napastnikowi" ominięcie kilku podstawowych dla bezpieczeństwa systemu Windows technologii zabezpieczających - chodzi tu m.in. o DEP (data execution prevention) oraz ASRL (address space layout randomization). To z kolei może pozwolić na skuteczne wykorzystanie jakiejś luki w oprogramowaniu (która normalnie nie byłaby groźna, ponieważ DEP lub ASRL blokowałyby wszelkie próby użycia jej do zaatakowania Windows). Co ważne - metoda opisana przez specjalistów z Core Security jest skuteczna wyłącznie w przypadku systemu uruchomionego w wirtualnej maszynie - Okna zainstalowane na zwykłym komputerze nie są podatne na taki atak. Błąd nie występuje również w oprogramowaniu wirtualizacyjnym Hyper-V (wprowadzonym w Windows Server 2008).

Ivan Arce przyznaje, że przedwczorajsze opublikowanie exploita i szczegółowego opisu problemu było próbą wywarcia nacisku na Microsoft - specjaliści chcieli w ten sposób zmusić firmę do szybkiego przygotowania poprawki. Jak widać, plan spalił na panewce - koncern z Redmond łaty przygotować nie zamierza. W każdym razie nie w najbliższym czasie.

Microsoft przyznaje, że wirtualne systemy faktycznie mogą być bardziej narażone na ataki niż te zainstalowane na fizycznej maszynie - koncern potwierdził też, że dotyczy to m.in. Windows XP uruchomionego w ramach tzw. Trybu XP w Windows 7 (dzięki tej funkcji w nowym systemie można bez większych problemów uruchamiać stare aplikacje). Ale przedstawiciele firmy zastrzegają, że ryzyko jest niewielkie - nawet jeśli atak zakończy się powodzeniem, to napastnik i tak uzyska dostęp tylko do zasobów Windows działającego w maszynie wirtualnej - system, w którym ta maszyna będzie uruchomiona, przez cały czas będzie bezpieczny.