Tredjeparts-software gennemhuller Vista-sikkerhed

Microsofts Windows Vista er blevet lovprist for sine sikkerhedsforbedringer. Men sikkerhedstiltagene forslår som en skrædder i Helvede, hvis tredjeparts-programmer indeholder huller.

Sikkerhedsekspert Peter Kruse fra sikkerhedsvirksomheden CSIS fortæller, at problemet opstår, når installerede tredjeparts-programmer kører med administrator-rettigheder. Det betyder nemlig, at det er muligt for hackere at bruge sikkerhedsmæssige svagheder i tredjepart-softwaren som indgang til at foretage handlinger med administrative rettigheder på Vista-maskinen.

CSIS, der bl.a. samarbejder med bankerne i forhold til it-sikkerhed og data-kriminalitet, har adskillige erfaringer med problemerne i forhold til tredjeparts-programmer og Windows. Peter Kruse fortæller, at selvom Microsoft i både XP og Vista har sikret, at styresystemet opdateres automatisk, så er en kæde ikke stærkere end det svageste led, hvilket i dette tilfælde altså er tredjeparts-programmer, som ikke er blevet automatisk opdaterede.

»Når vi modtager maskiner fra bankerne, der har været brugt til netbankindbrud, så viser det sig ofte, at grunden til, det overhovedet har kunnet lade sig gøre, skyldes at maskinerne ikke har været opdateret med relevante patches til eksempelvis Quicktime, Java og Winzip. Det er den altoverskyggende årsag,« siger Peter Kruse.

Og selvom flere tredjeparts-programmer efterhånden kommer med automatiske opdaterings-funktioner, så er der stadig mange ældre versioner af produkterne i omløb, som ikke indeholder den funktionen.

Vigtigst at opdatere tredjeparts-software

Ifølge sikkerhedseksperten så er problemet, at når en bruger installerer et program, så kræver flere applikationer administrator-rettigheder på systemet.

Og selvom Windows Vista eksplicit kræver, at brugeren tillader en applikation at køre med administrator-rettigheder, så er det alligevel problematisk. For når en bruger først har givet administrator-rettigheder til eksempelvis Apples medieafspiller Quicktime, så kan ondsindede mediefiler udnytte upatchede svagheder i afspilleren og derved opnå administrator-adgang til hele Vista-maskinen.

Peter Kruse vurderer, at problemet i forhold til tredjeparts-programmer er så kritisk, at han råder til, at man starter med at opdatere disse programmer, selvom det tidligere har været god latin først at sikre Windows og anti-virus software med opdateringer.

»I dag ser vi desværre, at alt for mange anti-virus programmer ikke kan tjekke exploits (kode rettet mod huller i software, red.), fordi de forskellige exploits som regel er obfuskeret, så de får lov at passere igennem anti-virus programmet,« siger han.

Storms næste mål

Det altid travle og gigantiske botnet Storm består ifølge Peter Kruse for øjeblikket mest af maskiner med Windows XP, mens CSIS ikke har registreret nogen inficerede Vista-maskiner. Dels fordi styresystemet umiddelbart er sværere tilgængeligt end XP set fra et hacker-synspunkt, men også fordi XP er langt mere udbredt.

»De (Storms bagmænd, red.) har ikke skrevet kode, der er decideret er rettet mod Vista, og som helt kan forbigå sikkerhedsarkitekturen i Vista - der er nogle udfordringer der,« siger Peter Kruse.

Han har dog en formodning om, at det kun er et spørgsmål om tid, før Storm rammer Vista-maskiner. Og han gætter på, at det formentligt vil ske netop gennem den sikkerhedsmæssige genvej, som tredjeparts-processer med administrative rettigheder tilbyder.

Vista har dog allerede vist sig ikke at være usårlig. Peter Kruse nævner et eksempel med et program til indbrud i netbanker, der via social-engineering lokker brugeren til at tillade programmet administrative rettigheder, hvorefter det overskriver harddiskens MBR (Master Boot Record). Og derfra har programmet fri adgang til Vista og brugerens data.