Proprio mentre stavo leggendo il lungo articolo di Mark Russinovich che canta le lodi del nuovo kernel di Vista in termini di sicurezza ecco che mi capita sott’occhio in un tab di Firefox un post su Rootkit.com dal titolo molto eloquente “Vbootkit: Compromising Windows Vista Security”.
A quanto pare, grazie a un tool chiamato vbootkit, Nitin Kumar e Vipin Kumar sono riusciti ad aggirare i controlli di Vista sul caricamento nel kernel di moduli firmati.
Il nuovo sistema Microsoft infatti per prevenire il pericolo rootkit verifica l’identità del creatore dei driver caricati all’avvio attraverso un meccanismo di hashing che di fatto dovrebbe impedire a driver fraudolenti di insinuarsi in kernel space.
Vbootkit, da quanto si può capire, funziona utilizzando settori di boot modificati e prendendo il controllo dell’avvio del sistema senza influire con il normale caricamento del kernel in memoria.
Purtroppo non ci sono molti dettagli che illustrino il funzionamento di questo ingegnoso rootkit, bisognerà aspettare il talk dei due creatori alla BlackHat Europe 2007.
Post correlati:
Se ti è piaciuto questo articolo condividilo!
