Microsoft heeft in de nieuwe release candidate van Windows Vista een aanvalsvector geblokkeerd, waardoor het voor een aanvaller mogelijk was om ongesigneerde drivers op het systeem te installeren. De oplossing is echter niet waterdicht, iets wat Microsoft ook weet.

De bekende rootkit expert Joanna Rutkowska demonstreerde tijdens de Black Hat conferentie in augustus hoe het mogelijk was om de anti-rootkit policy van Windows Vista te omzeilen. Deze beveiligingsmaatregel laat alleen maar digitaal gesigneerde drivers toe, maar door het alloceren van grote hoeveelheden geheugen konden ongesigneerde drivers, waarmee shellcode kan worden uitgevoerd, toch op het systeem geladen worden.

Rutkowska beschreef drie oplossingen:
1. Blokkeer raw schijftoegang van de usermode.
2. Versleutel de pagefile.
3. Schakel kernel mode paging uit, wat 80MB geheugen kan kosten.

De vrouwelijke onderzoeker maakte ook duidelijk dat oplossing 1 eigenlijk een slecht idee is. Het kan namelijk incompatibiliteitsproblemen veroozaken met bestaande disk editors, un-deleters, maar is ook geen echte oplossing voor het probleem.

Stel je voor dat een bedrijf een diskeditor wil uitbrengen. Doordat schrijftoegang naar de "raw disk sectors" van de usermode is geblokkeerd, moet het bedrijf haar eigen, legale kernel driver maken om toegang tot deze sectoren te krijgen. De driver moet gesigneerd worden, het is tenslotte een legale driver.

Een aanvaller zou de gesigneerde driver kunnen "lenen" om een pagefile aanval uit te voeren. Er zit geen bug in de driver, dus er is geen reden om de driver in te trekken. Microsoft besloot deze suggesties te negeren, en heeft voor de gemakkelijkste oplossing gekozen, die eigenlijk het probleem niet oplost, zo laat Rutkowska in haar blog weten.