Blue Pill rootkit: violata la sicurezza in Windows Vista

Vi ricordate la sfida lanciata da Microsoft qualche giorno fa?

Volte sapete com’è finita? Ebbene Joanna Rutkowska, una ricercatore di sicurezza, ha dimostrato che è possibile aggirare la sicurezza della beta 3 di Microsoft Vista e addirittura installare un rootkit chiamato Blue Pill.

Microsoft naturalmente ha subito affermato che avrebbe fermato questi possibili buchi di sicurezza prima della commercializzazione di Vista.

Rutkowska ha dimostrato che è possibile bypassare il processo di verifica dell’auto-integrità di Windows Vista, e così caricare ed eseguire del codice non verificato direttamente nel kernel di Vista. Poi è stato presentato, appunto, il Blue Pill, un rootkit basato su Advanced Micro Devices (AMD) Secure Virtual Machine.

Se sy bypassa il meccanismo di verifica della firma per i device driver, meccanismo incluso in Vista proprio per prevenire il caricamento di malware o altro software non certificato, non vuole comunque dire che Vista non sia sicuro. Semplicemente non è così sicuro come è pubblicizzato, almeno allo stato attuale di Beta 3. Rutkowska ha commentato che “è molto difficile implementare una protezione del kernel efficiente al 100% in qualsiasi sistema operativo per usi generici”.

Rutkowska, esperta di rootkit, ci ha fornito qualche minimo dettaglio sul Blue Pill. Con questo rootkit, che è naturalmente un prototipo non dannoso, è possibile eseguire un hijack del computer per farsi di sfruttarlo come backdoor per eseguire attacchi al sistema o ad altri attacchi. Blue Pill è stato sviluppato per Vista, ma, afferma Rutkowska, potrebbe senza alcun problema essere modificato per altre piattaforme (ci chiediamo solo ora … solo sistemi Windows ?)

E’ stato anche dimostrato come Blue Pill sia impossibile da rilevare via software. Questo perché il rootkit in questione si installa sul pc di modo da funzionare da virtual machine, la quale esegue poi Windows Vista. I processi, anche quelli di sicurezza, in Vista non sono in grando di rilevare la virtual machine. Rutkowska stà comunque lavorando per trovare un sistema perchè venga rilevato, in particolare si sta lavorando ad un rilevamento via hardware.

Microsoft ha ammesso la legittimità dell’annuncio della signora Rutkowska, ed ha detto che è già al lavoro per la verifica del problema, ed è stata ventilata l’ipotesi di ritardre Vista sino alla definitiva soluzione dello stesso. Anche Intel e AMD stanno lavorando sul rootkit Blue Pill, proprio perchè particolarmente adatto (a a codice sorgente aperto, aggiungerei) allo studio pratico del problema