vBootKit... due hacker indiani bucano Vista

Due hacker indiani sono riusciti a creare un rootkit specifico per Windows Vista.

In termini generali un rootkit è un applicativo in grado di ottenere privilegi di amministratore in maniera invisibile ed eventualmente di creare delle backdoor nel nostro sistema per metterlo sotto controllo di altri.

L’hacking ideato da Nitin Kumar e Vipin Kumar, descritto nel loro sito, sfrutta il Master Boot Sector (MBR), ovvero il primo settore del disco che viene letto dal BIOS alla ricerca del sistema operativo. Il codice contenuto in questo settore viene caricato in memoria prima del sistema operativo e persiste in memoria fino allo spegnimento della macchina.

[youtube]kiTG78LP_FE[/youtube]

Windows Vista, a quanto pare, tende a essere ottimista e ritiene il sistema non modificabile da un avvio al successivo. Quindi parte senza controlli di sorta sul MBR. Persino il boot menu di Vista (il menu testuale che ci chiede quale sistema vogliamo avviare) viene modificato con delle stringhe che ci informano della presenza di vBootKit, così hanno chiamato il loro “proof-of-concept”. Naturalmente se fosse stato progettato per scopi malevoli questa accortezza non sarebbe stata presa…

Cosa fa al nostro sistema vBootKit? Potrebbe essere programmato a fare qualsiasi cosa possa fare il kernel. Nel loro esempio il rootkit si “limita” ad aumentare i privilegi a intervalli regolari. Come si vede nella porzione di schermata digitando WHOAMI, si ottiene a volte admin e a volte SYSTEM.

Una cosa davvero curiosa di questo exploit è che è stato accolto con vivo interesse da chi teme che i controlli DRM di Vista siano eccessivi, poiché questi controlli, protetti dal kernel, potrebbero essere disattivati tramite un rootkit fatto ad hoc.

Personalmente spero che Microsoft tappi questa falla, poiché può essere sfruttata per fini tutt’altro che lodevoli…