06
gen 2008
Aggiornamento: Il primo rootkit via MBR
UPDATE: Notizie molto aggiornate ed ancora più precise su PcAlSicuro che tra l’altro ci segnala che …
In alcuni test preliminari Windows Vista è risultato solo parzialmente vulnerabile: se l’UAC è disabilitato, il rootkit può sovrascrivere il Master Boot Record ma, se l’UAC è abilitato, il tentativo viene bloccato. Inoltre, anche se il codice viene scritto nel MBR, il rootkit non riesce a prendere il controllo del sistema a causa del processo di boot differente da Windows XP a Windows Vista. Il malware, che riconosce il giusto codice da modificare nel kernel attraverso una signature, non riesce nell’intento poiché la signature non è valida per Windows Vista.
Tempo fa avevamo esposto i tentativi da parte di eminenti esperti di sicurezza per la creazione di rootkit, ovvero strumenti in grado di prendere il controllo dell’intero sistema, e senza che questo se ne accorga.
Questo praticamente si realizza avviando il codice maligno in questione prima dell’avvio di Windows stesso. La spiegazione tecnica è molto difficile, per cui tralascio.
Oggi PianetaPc ha diffuso la notizia che esiste un rootkit che sfrutta l’MBR (il record di avvio dell’hard disk che gestisce la prima fase di lancio dei sistemi operativi, smistandoli al relativo boot loader nel caso ci sia più di un sistema operativo installato).
Da Antirootkit.com la notizia della comparsa di un nuovo rootkit che si nasconde nel Master Boot Record di Windows XP e di Vista. Il rootkit a quanto pare sfrutta una falla del MBR, che può essere riscritto dall’interno di Windows.
Una volta insediatosi il rootkit si esegue al boot del sistema, prima del’avvio di XP o Vista, e in questo modo assume il controllo completo del processo di boot del sistema operativo e può installare ed eseguire qualsiasi applicazione senza che l’utente del pc o il suo sistema operativo ne siano consapevoli.
Leggete il proseguio degli articoli e consultate i relativi link di approfondimento direttamente sul sito di PianetaPc
Scritto da realtebo.
ok, soluzioni?
se non si hanno i privilegi di amministratore, il MBR non può essere scritto. La stessa cosa avviene anche su Linux, dove un rootkit da linux può scrivere il MBR se si hanno i privilegi di root.
diciamo che per ora è solo una minaccia ipotetica
Vi consiglio l’articolo di PcAlsicuro.
Conferma che invece il virus è già in giro
PS: Vista è al sicuro SOLO CON UAC ABILITATO
mah.. vista non è mai al sicuro da niente. faranno un fix e via.
non è un vulnerabilità , in quanto non viene superata nessuna barriera di sicurezza. Il programma deve prima acquisire i privilegi di amministratore per avere pieno accesso al sistema, per definizione può fare ciò che vuole, come è normale che sia.
cosa vuol dire “parzialmente vulnerabile”? cosa vuole dire “solo se UAC è attivato”?.
Lo UAC è attivato di default, quindi Vista è semplicemente immune.
Capisco che voglino vendere prodotti antirootkit per forza…
Vuol dire che Vista è ok finche un UTONTO non disattiva l’UAC perchè crede di migliorarne le prestazioni…
pcalsicuro è un blog di prevx che vende prodotti antirootkit, quindi è normale che non dica che vista è non vulnerabile nella sua configurazione di default (che oltretutto è quella che conta!), ma usa frasi come “vista è parzialmente vulnerabile” e “se lo uac è abilitato..”.
Furbetti questi produttori di antivirus/antimalware…
pcalsicuro è un blog di prevx che vende prodotti antirootkit, quindi è normale che non dica che vista è non vulnerabile nella sua configurazione di default (che oltretutto è quella che conta!), ma usa frasi come “vista è parzialmente vulnerabile” e “se lo uac è abilitato..”.
Furbetti questi produttori di antivirus/antimalware…
Sono d’accordo con Paolo.