In occasione della Hack In The Box Security Conference (HITB) di Dubai i ricercatori Vipin Kumar e Nitin Kumar della NVlabs hanno presentato un proof-of-concept utile ad evidenziare una grave falla nel prossimo Windows 7. Stando a quanto dichiarato dai Kumar, però, non si tratta semplicemente di una vulnerabilità, ma vi sarebbe qualcosa di ben più profondo tanto che il problema non sarebbe risolvibile se non attraverso una variazione completa del design della fase si boot.
Il software presentato prende il nome di VBootkit 2.0 e rappresenta l’evoluzione del precedente VBootkit sviluppato per Windows Vista. Grazie ad appena 3Kb di codice l’applicazione è in grado di aprire al pieno controllo di Windows 7, con la possibilità di ottenere massimi privilegi ed avere dunque pieno controllo su ogni attività ed ogni file correlati al sistema attaccato. Non solo: agendo sulle password dell’amministratore è possibile agire in piena libertà celando al contempo il passaggio sul sistema ripristinando semplicemente le password precedenti.
Fortunatamente la superfalla di Windows 7 è piena di attenuanti. Innanzitutto l’attacco non può essere apportato da remoto, il che richiede pertanto la possibilità di accedere fisicamente e liberamente al sistema. Inoltre al primo riavvio del sistema l’attacco precedente viene vanificato. Questi ultimi due fattori sono dovuti al fatto che il codice non entra mai nell’hard disk (risultando pertanto irrintracciabile), ma viene allocato a livello di memoria. Un attacco da remoto, dunque, è possibile soltanto dopo aver agito fisicamente sul sistema e prima di aver riavviato lo stesso.
Nonostante queste limitazioni il rischio è del tutto evidente ed il difficile rilevamento della presenza di VBootkit 2.0 all’interno del sistema è il monito che più di ogni altro mette in guardia dalle potenzialità del proof-of-concept presentato. All’interno dello speech sono state affrontate tre questioni specifiche:
- l’uso di Vbootkit per accedere ad un sistema senza lasciar tracce;
- forzare i normali programmi per scalare i privilegi;
- eseguire codice privo di firma a livello di kernel.
La combinazione dei tre elementi configura l’importanza della vulnerabilità presentata, per la quale al momento Microsoft non ha ancora fornito indicazioni di risposta.