La piccola superfalla di Windows 7

Vbootkit 2.0 è una piccola applicazione da 3KB tale da offrire pieno accesso e pieni privilegi ad una macchina con Windows 7. L'attacco non può però essere apportato da remoto ed un semplice reboot ne vanifica l'utilità. Falla grave, dunque, ma limitata

In occasione della Hack In The Box Security Conference (HITB) di Dubai i ricercatori Vipin Kumar e Nitin Kumar della NVlabs hanno presentato un proof-of-concept utile ad evidenziare una grave falla nel prossimo Windows 7. Stando a quanto dichiarato dai Kumar, però, non si tratta semplicemente di una vulnerabilità, ma vi sarebbe qualcosa di ben più profondo tanto che il problema non sarebbe risolvibile se non attraverso una variazione completa del design della fase si boot.

Il software presentato prende il nome di VBootkit 2.0 e rappresenta l’evoluzione del precedente VBootkit sviluppato per Windows Vista. Grazie ad appena 3Kb di codice l’applicazione è in grado di aprire al pieno controllo di Windows 7, con la possibilità di ottenere massimi privilegi ed avere dunque pieno controllo su ogni attività ed ogni file correlati al sistema attaccato. Non solo: agendo sulle password dell’amministratore è possibile agire in piena libertà celando al contempo il passaggio sul sistema ripristinando semplicemente le password precedenti.

Fortunatamente la superfalla di Windows 7 è piena di attenuanti. Innanzitutto l’attacco non può essere apportato da remoto, il che richiede pertanto la possibilità di accedere fisicamente e liberamente al sistema. Inoltre al primo riavvio del sistema l’attacco precedente viene vanificato. Questi ultimi due fattori sono dovuti al fatto che il codice non entra mai nell’hard disk (risultando pertanto irrintracciabile), ma viene allocato a livello di memoria. Un attacco da remoto, dunque, è possibile soltanto dopo aver agito fisicamente sul sistema e prima di aver riavviato lo stesso.

Nonostante queste limitazioni il rischio è del tutto evidente ed il difficile rilevamento della presenza di VBootkit 2.0 all’interno del sistema è il monito che più di ogni altro mette in guardia dalle potenzialità del proof-of-concept presentato. All’interno dello speech sono state affrontate tre questioni specifiche:

l’uso di Vbootkit per accedere ad un sistema senza lasciar tracce;
forzare i normali programmi per scalare i privilegi;
eseguire codice privo di firma a livello di kernel.

La combinazione dei tre elementi configura l’importanza della vulnerabilità presentata, per la quale al momento Microsoft non ha ancora fornito indicazioni di risposta.

http://www.lordmax.com lordmax

Soluzione molto semplice e rapida
Linux
Mac
altri SO
Non vedo il problema… ah già… M$ sta sulla maggior parte dei sistemi… peccato… per loro.
BLah

Ma Windows 7 non è ancora uscito, non ha senso parlare di falle!

E per gli smanettoni che hanno la beta, saran cacchi suoi!
Jepessen

Aridaje sempre con il fatto di cambiare sistema operativo…. Sempre lo stesso disco… Fate commenti più costruttivi una volta tanto…
anonymous

@Jepessen
Dimentichi che MS è comunque il Demonio! ;)

Scherzi a parte mi pare molto esagerato definirla una “super falla” in virtù proprio del fatto che serve un accesso fisico al sistema.
Ricordo che avendo accesso fisico potrei rubarti l’HD, versarti l’acqua sulla tastiera, usare un CD di boot apposito per il recupero password come ce ne sono tanti su SourceForge (sì, non è difficile recuperare le pass su Vista, Win7, Linux, MacOS), etc. etc.

Fine dell’allarmismo sensazionale.
Roy

Lol… e ROTFL…
Un conto è rapinarti a mano armata, un conto è ”
“accedere fisicamente e liberamente al sistema senza lasciar tracce;”
Carino il keylogger che ti prende le password in chiaro è ^_^, o che spacciandomi per te faccio i comodi miei… ^___^