Again, mais uma vez, Rutkowska hackeia o Vista

6 08 2007

 

Comecei a escrever algumas linhas sobre as novas aventuras da Joanna Rutkowska [1] quebrando a segurança do Windows Vista, porém por ter gostado do post do Márcio, segue abaixo um repost do que ele já havia escrito sobre:

Joanna RutkowskaA polonesa Joanna Rutkowska voltou a utilizar o seu famoso Blue Pill para introduzir um código malicioso no Vista. Ela subiu no palco em Las Vegas e disse: “Vou falar sobre a proteção do kernel do Vista e porque ela não funciona”.

A palestra de Joanna Rutkowska, no encontro Blackhat, voltou a surpreender por sua clareza e pelos detalhes. Ela começou lendo um documento do Microsoft Vista que dizia, inclusive, que os usuários com privilégios de administrador não podiam carregar um código no modo Kernel sem a permissão do sistema. Depois ela sorriu com ironia.

No ano passado, Rutkowska fez uso do seu famoso Blue Pill, um malware que se introduziu no sistema de virtualização do Vista e lhe concedeu privilégios de administrador.

Apesar das declarações da Microsoft afirmando que este problema foi solucionado antes que a versão final do Vista fosse encontrada no mercado, ainda existem muitas formas de atacar o Vista, e isso Rutkowska conseguiu provar com sobras.
Utilizando um driver da NVIDIA como proxy para escrever o código no Kernel, ela mostrou como um rootkit é capaz de enganar o sistema de segurança do kernel do Vista, que é o que supostamente evita a entrada do código não autorizado.

Este problema afeta não só o driver da NVIDIA, mas também o da ATI e quase todos os outros drivers de terceiros. Pior ainda: os drivers foram tão mal escritos e sua arquitetura tão mal desenhada que um usuário nem sequer precisa ter uma placa gráfica NVIDIA ou ATI instalada com o driver para se aproveitar desta falha. Basta apenas incluir o arquivo do driver junto com qualquer outro grupo de códigos, colocá-lo em algum lugar da unidade C: e utilizá-lo depois como um vetor de ataque.


Em seu blog “Segurança na Microsoft”, Fernando Cima postou o artigo Divulgado Código Fonte do Novo “Blue Pill” (03/08/2007) em que critica a efetividade do Blue Pill. O analista já havia analisado o primeiro Blue Pill (14/08/2006) apresentado por Rutkowska no evento Black Hat 2006.Mais informações:

[1] Joanna Rutkowska

[2] Virtualization Detection vs. Blue Pill Detection (em inglês), por Joanna Rutkowska, 3 de agosto de 2007, invisiblethings.org.

[3] Subverting Vista Kernel For Fun And Profit (em inglês), por Dave Bullock, 3 de agosto de 2006, eecue.com.

[4] Seguridad en Windows Vista (em espanhol), por Luther Blissett, 6 de agosto de 2006.

[5] Joanna Rutkowska (em inglês), por Wikipedia, the free encyclopedia. Veja também seu perfil em IT Defense 2006.

[6] Black Hat 2006 show highlights, fotos por Ryan Naraine, eWEEK.com.


Ações

Information

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s




%d blogueiros gostam disto: