El Control de integridad obligatorio ( MIC ) es una característica de seguridad fundamental de Windows Vista y versiones posteriores que agrega control de acceso obligatorio a los procesos en ejecución según su nivel de integridad (IL). El IL representa el nivel de confiabilidad de un objeto. El objetivo de este mecanismo es restringir los permisos de acceso para contextos potencialmente menos confiables (procesos, archivos y otros objetos protegibles), en comparación con otros contextos que se ejecutan bajo la misma cuenta de usuario y que son más confiables.
El control de integridad obligatorio se define utilizando un nuevo tipo de entrada de control de acceso (ACE) para representar el IL del objeto en su descriptor de seguridad . En Windows, las listas de control de acceso (ACL) se utilizan para otorgar derechos de acceso (permisos de lectura, escritura y ejecución) y privilegios a usuarios o grupos. Se asigna un IL al token de acceso de un sujeto cuando se inicializa. Cuando el sujeto intenta acceder a un objeto (por ejemplo, un archivo), el Monitor de referencia de seguridad compara el nivel de integridad en el token de acceso del sujeto con el nivel de integridad en el descriptor de seguridad del objeto . Windows restringe los derechos de acceso permitidos dependiendo de si el IL del sujeto es mayor o menor que el objeto, y dependiendo de los indicadores de política de integridad en la nueva entrada de control de acceso (ACE). El subsistema de seguridad implementa el nivel de integridad como una etiqueta obligatoria para distinguirlo del acceso discrecional bajo control del usuario que proporcionan las ACL.
Windows Vista define cuatro niveles de integridad: Bajo ( SID : S-1-16-4096), Medio ( SID: S-1-16-8192), Alto ( SID: S-1-16-12288) y Sistema ( SID: S-1-16-16384). [1] De forma predeterminada, los procesos iniciados por un usuario normal obtienen un IL Medio y los procesos elevados tienen IL Alto . [2] Al introducir niveles de integridad, MIC permite aislar clases de aplicaciones, lo que habilita escenarios como el aislamiento de aplicaciones potencialmente vulnerables (como aplicaciones orientadas a Internet ). Los procesos con IL Bajo se denominan procesos de baja integridad, que tienen menos acceso que los procesos con IL más altos donde la aplicación del control de acceso está en Windows.
Los objetos con listas de control de acceso, como los objetos con nombre , incluidos los archivos , las claves de registro o incluso otros procesos y subprocesos , tienen una entrada en la Lista de control de acceso del sistema que rige el acceso a ellos y que define el nivel de integridad mínimo del proceso que puede utilizar el objeto. Windows se asegura de que un proceso pueda escribir o eliminar un objeto solo cuando su nivel de integridad sea igual o superior al nivel de integridad solicitado especificado por el objeto. [2] Además, por razones de privacidad, los objetos de proceso con un nivel de integridad más alto están fuera de los límites incluso para el acceso de lectura de los procesos con un nivel de integridad más bajo. [3]
En consecuencia, un proceso no puede interactuar con otro proceso que tenga un IL superior. Por lo tanto, un proceso no puede realizar funciones como inyectar una DLL en un proceso con un IL superior mediante la CreateRemoteThread()función [4] de la API de Windows o enviar datos a un proceso diferente mediante la función [5]WriteProcessMemory() .
Si bien los procesos heredan el nivel de integridad del proceso que los generó, el nivel de integridad se puede personalizar en el momento de la creación del proceso. Además de definir el límite de los mensajes de ventana en la tecnología de Aislamiento de privilegios de interfaz de usuario (UIPI), el Control de integridad obligatorio se utiliza en aplicaciones como Adobe Reader , Google Chrome , Internet Explorer y Windows Explorer para aislar documentos de objetos vulnerables en el sistema. [1]
Internet Explorer 7 introduce una configuración de "Modo protegido" basada en MIC para controlar si una página web se abre como un proceso de baja integridad o no (siempre que el sistema operativo admita MIC), en función de la configuración de la zona de seguridad, lo que evita algunas clases de vulnerabilidades de seguridad. Dado que Internet Explorer en este caso se ejecuta como un proceso de baja integridad, no puede modificar objetos de nivel de sistema; en cambio, las operaciones de archivos y registros se virtualizan. Adobe Reader 10 y Google Chrome son otras dos aplicaciones notables que están introduciendo la tecnología para reducir su vulnerabilidad al malware. [6]
Microsoft Office 2010 introdujo el entorno sandbox aislado "Vista protegida" para Excel, PowerPoint y Word, que prohíbe que documentos potencialmente inseguros modifiquen componentes, archivos y otros recursos de un sistema. [7] La Vista protegida funciona como un proceso de baja integridad y, en Windows Vista y versiones posteriores de Windows, utiliza MIC y UIPI para restringir aún más el entorno sandbox. [8]
Sin embargo, en algunos casos, un proceso de IL superior necesita ejecutar ciertas funciones contra el proceso de IL inferior, o un proceso de IL inferior necesita acceder a recursos a los que solo un proceso de IL superior puede acceder (por ejemplo, al ver una página web en modo protegido, guardar un archivo descargado de Internet en una carpeta especificada por el usuario). [1] Los procesos de IL superior e IL inferior aún pueden comunicarse entre sí mediante archivos, canalizaciones con nombre , LPC u otros objetos compartidos. El objeto compartido debe tener un nivel de integridad tan bajo como el proceso de IL inferior y debe ser compartido por ambos procesos de IL superior e IL inferior. [3] Dado que MIC no impide que un proceso de IL inferior comparta objetos con un proceso de IL superior, puede desencadenar fallas en el proceso de IL superior y hacer que trabaje en nombre del proceso de IL inferior, lo que provoca un ataque de Squatting . [3] Sin embargo, los ataques Shatter se pueden prevenir mediante el uso del Aislamiento de privilegios de interfaz de usuario que aprovecha MIC.