Windows 8 con EFI è più facile da bucare di Windows 7

Gli specialisti di un'azienda italiana hanno dimostrato che creare un rootkit per Windows 8 è anche più facile che con Windows 7 e precedenti. Succede perché il sistema EFI è più semplice da programmare. Solo la chiusura di Secure Boot offre una protezione efficace.

Windows 8 è meno sicuro dei sistemi precedenti quanto ai rootkit, a meno di attivare Secure Boot. ITSec, una società italiana specializzata in sicurezza è riuscita a creare un exploit dell'EFI che dimostra la possibilità di realizzare attacchi di basso livello ai danni del nuovo sistema operativo Microsoft.

Ad aggravare la situazione c'è il fatto che con EFI, la "versione moderna" del BIOS, oggi è più facile scrivere un attacco. "EFI sostituisce BIOS e Master Boot Record (la porzione del drive di sistema riservata all'avvio del sistema operativo). È una sorta di mini sistema operativo che mette a disposizione molte funzioni aggiuntive in un linguaggio semplice come C o C++ per creare il Master Boot Record (MBR)", ci ha spiegato il fondatore e dirigente di ITSec Marco Giuliani.

Avvio del sistema, schema

"Con EFI si può scrivere la stessa identica infezione, e si possono disattivare le protezioni di Windows", continua Giuliani, sottolineando come EFI non faciliti solo la vita degli utenti comuni, ma anche quella di potenziali criminali. Una facilità confermata anche da Andrea Allievi, che ha scritto l'exploit in circa un mese per poi descriverlo in un articolo sul sito della società. Nel suo pezzo Allievi dimostra che sarebbe più facile mettere a punto rootkit che colpiscano Windows 8 di quanto non sia possibile fare con i sistemi attuali basati su BIOS.

Quanto ai rootkit, sono un tipo di malware che esiste da tempo. S'installano nell'MBR e si avviano prima di Windows; possono quindi controllare funzioni e applicazioni di sicurezza, e dare grande libertà di movimento e di intrusione. "Se il virus parte prima del sistema operativo non c'è modo di difendersi", ha aggiunto Giuliani, descrivendo sinteticamente un malware di questo tipo. Windows 8 quindi è esposto alle stesse vulnerabilità di Windows 7 e precedenti, con la differenza che è un bersaglio più facile.

ItSec

Quanto ai metodi per raggiungere i bersagli, sono i soliti: link pericolosi sui social network, phishing e spam via posta elettronica e simili sono strumenti più che efficaci per indurre un ignaro utente a scaricare un'applicazione pericolosa. Secondo ITSec è possibile creare un eseguibile per Windows che vada a modificare EFI per creare un rootkit.

Teoricamente il pericolo esiste anche per Linux e OS X (qui un esempio di attacco al sistema Apple), rispetto ai quali i sistemi Windows potrebbero avere un vantaggio. La dimostrazione di ITSec infatti è valida se e solo se Secure Boot non è attivato. Se invece il criticato sistema di controllo è attivo non sembra possibile infettare un computer Windows 8 con un rootkit, almeno al momento.

"Concettualmente Secure Boot è sicuro perché è in mano a pochi. Solo il produttore (HP, Acer, Asus, etc) può modificare le firme perché ha accesso al sistema. È tutto nelle mani di chi fa la scheda madre", ci ha spiegato Giuliani.

Parte del lavoro svolto dagli esperti di ITSec

Una possibile vulnerabilità in Secure Boot sarebbe quindi da attribuire all'OEM, ma è difficile che questi "sbaglino" nella realizzazione di Secure Boot se seguono le linee guida Intel. Anche se, ci ricorda Giuliani, quest'ultima non è esente da errori: in passato è stato dimostrato dopotutto che un errore nella gestione delle istruzioni della CPU poteva concedere a un malintenzionato diritti amministrativi nel sistema.

A proposito di Secure Boot, Allievi ci ha fatto notare come al momento sembri una soluzione ben fatta. Le schede madre prodotte attualmente e quelle in arrivo dovrebbero offrire la possibilità di attivarlo e personalizzarlo (per esempio aggiungendo chiavi), in modo tale da soddisfare le esigenze di sicurezza insieme a quelle di flessibilità - di chi vuole installare Linux o altri sistemi operativi.

Resta da vedere tuttavia se e quanto i produttori di PC completi (portatili o desktop) decideranno di offrire ai propri clienti tale flessibilità. Non è da escludere dopotutto che la possibilità di disattivare Secure Boot diventi una funzione aggiuntiva "premium" che si troverà solo nei prodotti più costosi. Sarebbe uno scenario triste e speriamo vivamente che non si verifichi, ma non ci sentiamo di escluderlo. E voi?