Andrea Allievi, un ricercatore che lavora per Cisco, ha mostrato questa mattina alla NoSuchCon di Parigi un metodo per superare le difese più interne di Windows 8.1, vale a dire Patchguard. Allievi, forte di esperienze simili con Windows 7, ha modificato un rootkit rendendolo capace di ingannare le protezioni che impediscono modifiche al kernel di Windows.
Parliamo in particolare di Patchguard, che appunto previene le modifiche al Kernel, e DSE (Driver Signing Enforcement), il cui compito è bloccare il codice non firmato nel kernel di Windows. Per superare queste barriere Allievi (già autore di altre ricerche interessanti) ha creato un kernel driver basandosi sull'esperienza precedente del rootkit Uroburos, e riuscendo a inserire il proprio codice nel kernel di Windows 8.1.
La presentazione di Andrea Allievi
I dettagli tecnici dell'attacco sono molto complessi, incomprensibili per chi non è più che esperto in sistemi operativi. Allievi arriva comunque ad affermare che Patchguard è "il miglior amico di un assalitore". In linea del tutto teorica questo approccio si potrebbe usare per proteggere un rootkit, o in altre parole per nascondere un malware di basso livello dentro Windows e renderlo impossibile da individuare - perché perfettamente mimetizzato con il codice legittimo del sistema operativo. Anzi, sarà la stessa funzione Patchguard a "proteggere" il rootkit - come ha dimostrato Allievi.
Il lavoro fatto da Allievi (qui il suo blog) è davvero notevole e ha sollevato molta curiosità, ma non è il caso di farsi prendere dal panico perché è davvero improbabile che un attacco tanto sofisticato si trasformi in un malware di grande diffusione. Chi opera su macchine particolarmente sensibili, tuttavia, farebbe bene ad approfondire l'argomento.
 |
Microsoft Windows 8.1 | |
 |
Microsoft Windows 7 PRO SP1 64-bit |
