Mientras Microsoft insiste en que su nuevo sistema operativo W.Vista es el más seguro en su historia, no puede dejar de ver como está siendo hackeado en su conferencia Black Hat.
Hace mucho tiempo ya (el 29 de Junio de 2006), Joanna Rutkowska, una investigadora de seguridad en Singapur, creó una tecnología que permite crear Malware indetectable usando la plataforma de virtualización Pacifica, de AMD, aún en plataformas x64. La tecnología permiía insertar código malicioso en el Kernel de W. Vista (Beta 2, para aquel entonces) sin necesidad de valerse de bugs, lo que realmente sobrepasa las politicas anti-rootkit de W.Vista que requiere de una firma digital en el software que se ejecuta a nivel de kernel.
El 4 de agosto, Microsoft observa como la profesía de Rutkowska se hace realidad:
LAS VEGAS—Ben Fathi slipped into the darkened, standing-room-only conference room and took a seat on the carpeted floor.
On the Black Hat stage, malware researcher Joanna Rutkowska, of COSEINC, was discussing a new technique that could plant an offensive rootkit in Windows Vista, Microsoft’s “most secure ever” operating system.
As corporate vice president for Microsoft’s STU (Security Technology Unit), it is Fathi’s responsibility to deliver on Vista’s security promise, and Rutkowska’s claim—complete with live demo—that a key anti-rootkit feature can be easily defeated could be a public relations nightmare.
But Fathi was unperturbed. Almost unnoticed in the crowd, he paid close attention to Rutkowska’s slides and didn’t even flinch when the room erupted in applause as the demo succeeded in loading unsigned code into Vista Beta 2 kernel (x64), without requiring a reboot.
[ . . . ]
Rutkowska, a Windows Internals expert, was one of several stealth malware researchers using Black Hat, the preeminent hacker conference, to discuss advancements in rootkit creation.During her talk, she described how scripts can be used to allocate excess amounts of memory to a process, forcing the target system to page out unused code and drivers. At this stage, Rutkowska showed how shell code could be executed inside one of the unused drivers, completely defeating the new device driver signing policy being implemented in Vista to only allow digitally signed drivers to load into the kernel.
Traduciendo un poco el mensaje, el metodo de Rutkowska demuestra como puede alojarse memoria excedente a un proceso, forzando al sistema a paginar código y controladores que no están en uso. En este punto, el código malicioso puede ser ejecutado dentro de uno de los controladores en desuso venciendo por completo la nueva política de firmado digital implementada en W.Vista y que exige que solo controladores firmados digitalmente carguen a nivel del kernel. Todo esto sin necesidad de reiniciar el ordenador.
.comentarios
Excelente post pana te felicito. Lei que microsoft estaba participando en una comptencia de hakers malos, porque ese sentia muy confiada de la seguridad de vista, pero creo que nada es in-kackeable
