Vulnerabilidad de Windows Vista a nivel de Kernel

[RHC]

No ha tenido que pasar mucho tiempo desde que microsoft retara a los 3000 hackers y expertos para que éstos hayan conseguido dar un buen hachazo al SO.
Según se puede leer en News.com, mientras que Microsoft hacía una demostración de Vista en una conferencia sobre seguridad, en otra sala cercana a esa se encontraba la investigadora polaca Joanna Rutkowska, que mostraba cómo cargar en el kernel de Windows Vista drivers sin firmar, que podían portar código maligno.

Utilizando una técnica conocida como Blue Pill, Joanna mostró como se podía insertar código malicioso en la versión beta de Windows Vista de 64 bits utilizando drivers sin firmar.

Joanna Rutkowska, de la firma de seguridad Coseinc, ha demostrado como crear malware indetectable simplemente instalándolo en forma de drivers, aunque no obstante "el hecho de que ese mecanismo fuera traspasado no significa que Vista sea completamente inseguro. Sólo que no es tan seguro como se ha anunciado" dijo la investigadora.

Enlaces:
http://news.com.com/2100-7349_3-6102458.html
http://www.kriptopolis.org/node/2688

[FAQsimil]

Si, Joanna ya habia avisado dias antes de que iba a probar su metodo en esa conferencia con un Vista de 64 bits.

En realidad son 2 cosas.

Una es el concepto ideado por Joanna, el BluePill, que me parece muy interesante y peligroso en un futuro (y no solo para Microsoft) y otra el como lo ha llegado a introducir en el Vista64. Esto ultimo lo ha hecho sorteando el sistema de certificados del Vista64 (todos los drivers que se ejecuten en modo kernel para esta version de 64 bits han de ir obligatoriamente firmados digitalmente). El problema es que al ser una beta, ese sistema no esta completamente terminado y todavia no se ha decidido que tipo de certificacion va a ser necesaria, pudiendose instalar ahora cualquier cosa firmada por cualquiera. Por lo tanto, este aspecto no parece preocupante por ahora. (Ademas lo ha hecho con una cuenta de Administrador, ¿es que nadie lee mi firma? )

El problema va a ser el Bluepill, que consiste en usar las capacidades de virtualizacion por hardware de los ultimos procesadores tanto de AMD como de Intel. Es decir, sin estos procesadores el concepto del Bluepill no funciona. Algunos de vosotros habreis usado alguna vez una maquina virtual, por ejemplo ejecutar en un XP el VirtualPC y dentro de este un Windows 98. El Windows 98 no se "entera" de que esta siendo ejecutado dentro de un XP, se "cree" que esta en una maquina cualquiera con todo el hardware a su disposicion y solo para el. Bien, esto que se hace por software con programas tipo VirtualPC, en los nuevos AMD con su Pacifica y en los Intel con su bit VT, se hara por hardware, a plena velocidad. Esto es lo que aprovecha el Bluepill de Joanna, su codigo malicioso hace correr el Vista64 en modo virtualizado, por eso el Vista64 no se entera que esta siendo supervisado continuamente por el codigo malicioso. Esto es aplicable a Linux, BSD, etc. no solo Windows. Asi que ojo con este concepto, nadie va a estar a salvo .