Superate le protezioni all'avvio di Vista

Una particolare vulnerabilità sarebbe emersa in Windows Vista: ne hanno illustrati i dettagli alcuni esperti di sicurezza indiani in occasione della Black Hat Security di Amsterdam: Nitin e Vipin Kumar, questo il nome dei rappresentanti del NV labs impegnati nella presentazione, hanno dimostrato il funzionamento di un software di loro progettazione che si inserisce nella procedura di avvio del sistema ed è capace di aggirare il controllo del code signing, cioè il marchio che garantisce il legittimo acquisto del software in questione. Così è facendo è possibile eseguire senza problemi una copia pirata dell’ultima versione del sistema operativo di Microsoft con il massimo dei privilegi.

Durante la dimostrazione di VBootkit, Nitin e Vipin Kumar sono riusciti a far partire una versione RC2 di Vista avviando il sistema operativo da un CD contenente il loro software. Così facendo VBootkit è in grado di operare “al volo” dei cambiamenti nella memoria e nei file mentre questi sono letti. Un simile exploit dimostra come il grande problema delle nuove procedure di sicurezza di Vista sia che per ogni stadio del processo di autenticazione il sistema dà per scontato che ciò che è accaduto prima sia andato a buon fine. Dunque non ci sono doppi controlli e una volta caricato prima che avvenga l’avvio, VBootkit è libero di copiarsi in un settore non usato della memoria e quindi di agire in background durante tutta la procedura di avvio del sistema, il tutto senza che i sistemi di verifica Windows siano mai manomessi.

Il software, la cui realizzazione ha richiesto diverse settimane di lavoro, è inoltre in grado, con qualche opportuna modifica, di applicare questo tipo di ragionamento e di “raggiro” alle procedure di autenticazione dei driver per il nuovo Windows e anche alle misure di sicurezza come i DRM per i DVD ad alta definizione. Infatti il sistema su cui si basa VBootkit non è troppo diverso dal tipo di attacco che originariamente portò al primo aggiramento delle protezione AACS per HD DVD. Si tratta di un nuovo tipo di procedure che si fondano più sull’hardware che sul software e il cui obiettivo è intercettare le informazioni cruciali nel breve tempo in cui risiedono in memoria per poi usarle in un secondo momento per autenticarsi correttamente.

La dimostrazione di VBootkit è stata comunque fatta su una versione RC2 di Windows Vista e non su quella finale per motivi economici. I due esperti indiani assicurano tuttavia che il software funzioni ugualmente anche sulla versione completa.