Advertentie

De zogenaamde Purple Pill heeft de gemoederen in beveiligings- en hackerkringen vorige week danig beziggehouden. Deze tool maakt het mogelijk om malware voorbij de nieuwe anti-rootkit/anti-DRM-verdediging in de 64 bit Vista-kern te smokkelen.

De ‘paarse pil’ maakt gebruik van een kwetsbaarheid in een grafische driver van ATI. Ontwikkelaar Alex Ionescu gaf de proof of concept-tool, gemaakt om te bewijzen dat misbruik mogelijk is, eind vorige week vrij. Hij verkeerde in de veronderstelling dat het lek in de driver al was gedicht. Vista-kernel- beveiligingsexpert Joanna Rutkowska had er begin deze maand immers op gewezen in een presentatie tijdens de Black Hat-conferentie.

Toen Ionescu merkte dat het lek nog open was, trok hij zijn tool na ruim een uur weer terug. In die tijd is de software 39 keer gedownload, schrijft Ryan Naraine op zijn blog op ZDNet.com. Onder meer medewerkers van Symantec hebben de tool afgehaald. Zij wezen ATI’s driver als schuldige aan. Symantec heeft Purple Pill aangemerkt als hackingtool en stuurde een definitie-update voor zijn anti-malwareproducten uit.

Purple Pill maakt het mogelijk om ongecertificeerde, mogelijk kwaadaardige drivers binnen Vista te laden. De tool lift mee op een beveiligingscertificaat voor ATI’s hardwaredriver, die is geïnstalleerd in vijftig procent van de laptops. Hij ontduikt de anti-rootkit/anti-DRM-verdediging, door bepaalde controles voor gecertificeerde drivers uit te schakelen. Dit opent de deur voor rootkit-auteurs om te knoeien met de Vista-kernel.

Volgens Eric Chien, een senior manager bij Symantecs, biedt de ATI-driver de mogelijkheid om kernelgeheugen te lezen en te schrijven. “Het is een bug ofwel een feature op de driver.” Omdat deze toepassing gecertificeerd is én toegang heeft tot het kernelgeheugen, kunnen slimme figuren de driver voor hun karretje spannen, volgens hem. Microsoft kan het certificaat voor de driver niet intrekken, omdat het al is ingebed in ongeveer de helft van alle Vista-laptops.

ATI heeft de fout inmiddels bevestigd en werkt met Microsoft aan een update. Het probleem zou vooral zitten in de installer, meer dan in de driver. Uiterlijk vandaag wil ATI nummer 7.8 van zijn Catalyst-softwarepakket vrijgeven. Waarschijnlijk verdeelt Microsoft de update morgen, op Patch Tuesday, via het automatische updatesysteem.

Advertentie