Microsoft blokuje dostęp do jądra Visty
Microsoft zablokował przeznaczoną dla 64-bitowej wersji systemu operacyjnego Vista aplikację, która według firmy z Redmond pozwalała na wprowadzanie malware do jądra systemu.
Opisywana aplikacja to Atsiv. Była ona w stanie ominąć technologię Kernel Mode Code Signing (KMCS) blokującą dostęp do 64-bitowego jądra systemu. Aby załadować się do jądra, kod (np. sterownik urządzenia) musi spełniać wymogi certyfikatu Micrsofotu.
Atsiv tymczasem jest darmową aplikacją stworzoną przez Linchpin Labs oraz OSR omijającą KMCS i pozwalającą na załadowanie do systemu niepodpisanego sterownika.
- Sterownik Atsiv nie jest sam w sobie złośliwym oprogramowaniem, ale może zostać wykorzystany do załadowania takiego software'u do jądra - twierdzi Ollie Whitehouse z firmy Symantec.
Narządzie ładuje swój własny sterownik, pozwalając następnie na wczytywanie niepodpisanych "driverów" za pomocą swojego loadera PE (portable executable).
Drugiego sierpnia Windows Defender otrzymał nową bazę sygnatur ułatwiającą wykrycie, zablokowanie, a następnie usunięcie sterownika Atsiv.
