Windows - Nakładka WoW64 znacznie osłabia bezpieczeństwo

System Windows jest ceniony za pewną istotną cechę: kompatybilność wsteczną na dobrym poziomie. Problemu nie stanowi nawet zainstalowanie pierwszej wersji systemu i dokonanie stopniowych aktualizacji aż do najnowszej z zachowaniem działających programów. Ta kompatybilność ma jednak swoją cenę i w niektórych przypadkach zmniejsza bezpieczeństwo systemu. Jednym z tego typu rozwiązań jest podsystem WoW64, który umożliwia nam uruchamianie aplikacji 32-bitowych nawet na systemach Windows w edycjach 64-bitowych. Bez tego podsystemu nie moglibyśmy korzystać z większości oprogramowania, bo choć pierwsze konsumenckie Athlony 64 FX pojawiły się na rynku już w 2003 roku, to wiele aplikacji wciąż nie zostało przepisanych. Dla Microsoftu brak odpowiedniej nakładki zapewniającej kompatybilność byłby katastrofą.

Kompatybilność zawsze wiąże się z otwarciem dodatkowych furtek dla cyberprzestępców.

System nagle straciłby swoją elastyczność, dzięki której zdominował zamkniętych i przypisanych do pojedynczych urządzeń konkurentów. Podsystem WoW64 zadebiutował w Windows XP Professional x64 Edition i korzystamy z niego po dziś dzień. Jak się jednak okazuje, powoduje sporo problemów. Specjaliści z firmy Duo Security wzięli pod lupę udostępniany przez Microsoft zestaw narzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET), który jest stosowany do ochrony przed exploitami. Pakiet ten jest udostępniany za darmo i jego głównym przeznaczeniem jest praca na serwerach i w środowiskach biznesowych. Korzystać z niego mogą jednak i użytkownicy domowi, tym bardziej że jest stosunkowo prosty w obsłudze i znacznie zwiększa bezpieczeństwo – wszystko to za sprawą wymuszania na aplikacjach używania wbudowanych w system mechanizmów takich jak DEP, EAF i ASLR (losowy rozkład przestrzeni adresowej).

Badania pokazały, że około 80% używanych przeglądarek działa za pośrednictwem WoW64. Jedynie 4% to prawdziwe 64-bitowe procesy. Podatności w podsystemie były znane dzięki inżynierii wstecznej już od jakiegoś czasu, ale tym razem udało się przygotować takie metody ataku, które umożliwiają obejście wszystkich zabezpieczeń nakładanych przez EMET. Oznacza to, że nawet wzmocniona przez ten pakiet przeglądarka jest narażona na atak ze strony exploitów. Nie dotyczy to zresztą jedynie przeglądarki, lecz wszystkich procesów 32-bitowych z nałożonymi restrykcjami – te działają bowiem w przypadku WoW64 inaczej niż na systemach 32-bitowych.

Problem jest jeszcze poważniejszy, bo badania doprowadził do kolejnych wniosków: oprogramowanie zabezpieczające na 64-bitowych edycjach Windows nie jest tak skuteczne, bo za sprawą nakładki szkodniki są w stanie obejść uchwyty przez nie nakładane i monitorowane. Sprawy nie ułatwia także mechanizm kontroli jądra systemowego (PatchGuard), który już od kilku lat utrudnia stworzenie odpowiednich narzędzi do monitorowania aktywności aplikacji – ograniczenia przez niego nakładane są problemem dla twórców oprogramowania ochronnego, ale jednocześnie nie stanowią zapory dla autorów malware, którzy nie przejmują się etyką programistyczną.

Jak zwiększyć bezpieczeństwo systemu?

Czy to odkrycie oznacza, że nie powinniśmy już wykorzystywać zestawu EMET do lepszego zabezpieczania systemu? Zdecydowanie nie. Jest on co prawda podatny na pewnego rodzaju ataki, ale nie oznacza to, że nie chroni przed innymi. Narzędzie udostępniane przez Microsoft jest natomiast darmowe i pozwala na znacznie lepsze zabezpieczenie systemu na wypadek ataku na którąś z popularnych aplikacji jak choćby przeglądarki internetowe, Flash Player, Java czy też czytniki dokumentów PDF. Ważne natomiast jest to, aby w miarę możliwości korzystać z natywnych, 64-bitowych wersji aplikacji.