image

Onderzoekers publiceren Windows 7 rootkit

vrijdag 8 mei 2009, 16:41 door Redactie, 1 reacties

Tijdens de afgelopen Hack In The Box conferentie demonstreerden twee beveiligingsonderzoekers hoe ze een rootkit op Windows 7 systemen kunnen installeren en het programma hebben ze nu voor iedereen beschikbaar gemaakt. Via de Vbootkit is het mogelijk voor een aanvaller om volledige controle over de 64-bit versie van het nieuwe Microsoft besturingssysteem te krijgen.

De aanval werkt alleen als de aanvaller fysieke toegang tot het systeem heeft en is te voorkomen door BitLocker en de Trusted Platform Module te gebruiken. "De rootkit kaapt het standaard leesmechanisme van de harde schijf, de INT 13h methode, en wacht vervolgens op een leesverzoek. Als het een bekende signature tegenkomt, wordt het bestand in het geheugen gepatcht en gaat het proces door totdat we de kernel bereiken."

Eén versie
BitLocker mag dan de oplossing zijn, de encryptie-software is alleen in de Enterprise en Ultimate versies van Windows 7 aanwezig. "We zouden graag zien dat Microsoft één versie uitbrengt waarin alle features zitten", zo laten onderzoekers Vipin en Nitin Kumar weten. In theorie is het ook mogelijk om de aanval op afstand uit te voeren, maar volgens Kumar kost dat zoveel moeite dat dit scenario zeer onwaarschijnlijk is. "We zijn niet bezorgd dat iemand de code aanpast om het op afstand te gebruiken, omdat er makkelijkere manieren zijn om het gewenste doel te bereiken dan via Vbootkit." Mocht dit toch gebeuren, dan is het aan anti-virusbedrijven om Vbootkit te detecteren, gaat Kumar verder.

Vanwege mogelijk misbruik hadden de onderzoekers de code achtergehouden, maar zien daar nu toch vanaf. "We willen alleen mensen de echte vijand laten begrijpen, namelijk malware. Dit kan voor nieuwe ideeën binnen de beveiligingsindustrie zorgen om het probleem op te lossen. We gebruiken nog steeds zeer oude manieren om malware te detecteren."

Reacties (1)
09-05-2009, 15:23 door Anoniem
Microsoft heeft volkomen gelijk, ik zie ook niet zo 1-2-3 wat er vernieuwend is aan deze "aanval". INT 13h kapen gebeurt al tientallen jaren.

Het maken van een rootkit is echt niet nodig om te begrijpen dat het kan. Om af te zakken naar hun niveau: FAIL.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.