Windows 10 porta con sé una sicurezza ancora più solida rispetto a quella di Windows 8.1. Il nuovo sistema operativo Microsoft infatti sarà ancora più resistente ai rootkit e agli attacchi kernel di basso livello. È il nuovo capitolo di una storia iniziata con Windows Vista, quando Microsoft introdusse i processi protetti.
La novità si rese necessaria perché c'erano malware capaci d'intercettare le password salvate in memoria dal processo LSASS (Local Security Authority Subsystem Service, Wikipedia). Ai tempi di Vista, ci spiega lo specialista Andrea Allievi (vedi anche Sicurezza di Windows 8.1 usata per proteggere un rootkit e Windows 8 Secure Boot: arriva il malware di basso livello), questa protezione era un semplice plug-in, che da allora si è evoluto molto.
Stiamo parlando in particolare della password di sistema, quella usata per accedere al computer stesso. Un elemento che è ancora più sensibile di quanto lo fosse in passato, perché oggi non dà più "solo" (si fa per dire) accesso al computer, ma quasi certamente è la stessa che usiamo per l'account Microsoft, dove si trovano i dati salvati su OneDrive, gli acquisti fatti sugli shop Xbox (giochi, film e musica) ed eventualmente anche la posta elettronica - per chi usa Outlook online. Una protezione più solida è quindi doverosa.
A un primo sguardo un processo protetto si può assimilare a un DRM, di quelli applicati ai film. Un'attività avviata sul computer a cui l'utente non può accedere in alcun modo. In Windows 8.1 questa protezione fu portata all'estremo con l'introduzione di livelli di code signing.
Le nuove firme digitali hanno un campo EKU (Enhanced Key Usage) che determina il livello di protezione del suo processo protetto; quindi un antivirus può far girare il suo processo protetto a un certo livello di protezione e così via. LSASS, il processo che gestisce le password, gira al massimo livello di protezione possibile (in Windows RT)
ci spiega Allievi, illustrandoci la mastodontica ricerca del suo collega Alex Ionescu.
Anche con Windows 8.1 è comunque possibile intercettare le password contenute nel processo LSASS, ad esempio con Mimikatz o strumenti simili. Almeno per le versioni standard, perché Windows RT è più solido da questo punto di vista. Tale vulnerabilità esiste "perché Windows 8.1 nelle sue versioni standard, non esegue di default il processo LSASS come processo protetto (il meccanismo è attivabile solo con una procedura a linea di comando)" continua Allievi, attraverso il quale appunto è possibile violare il processo protetto LSASS.
"In Windows 8.1 è possibile violare il processo LSASS anche con un driver, entrando in modalità kernel. Ionescu ha dimostrato che in Windows RT ciò non è possibile, primo perché non è possibile entrare in kernel mode, e poi perché anche con privilegi di amministrazione non si può aprire il processo LSASS e quindi leggerne la memoria", ci spiega Allievi. Un'altra azione intrapresa da Microsoft, tra l'altro, è stata ridurre l'accesso al kernel anche con privilegi admin.
Windows 8.1 nelle sue versioni standard, non esegue di default il processo LSASS come processo protetto
Perché Microsoft non ha inserito questa resistenza migliorata anche nelle versioni desktop di Windows? Perché sono possibili problemi di compatibilità, che tuttavia secondo Allievi sono limitati ad alcune periferiche come lettori d'impronte digitali o di smart card. Esistono quindi ancora molti attacchi del tipo "pass-the-hash" (Wikipedia) che permettono a un virus di estrarre la password, ed eventualmente trasmetterla a un server esterno.
Ed è qui "la cosa molto intelligente" che potrebbe arrivare con Windows 10. Potrebbe, al condizionale, perché l'analisi di Alex Ionescu (Twitter) indica che il codice è presente in Windows 10, ma nulla autorizza a pensare che Microsoft alla fine lo attiverà, o che almeno lascerà all'utente la possibilità di farlo.
Comunque sia, quel che hanno fatto è usare delle micro macchine virtuali (Micro Virtual Machine, MVM) grazie a Intel HyperVisor. Si tratta di un'idea che in sé non è del tutto nuova, grazie alla quale ogni processo protetto critico (LSASS, antivirus, DRM, etc.) gira in una sua MVM e questo "dal punto di vista dell'attaccante è un grosso problema, mentre è una buona cosa per l'utente, perché non si può più accedere all'address-space del processo e quindi estrarre la password", afferma ancora Allievi.
Il punto chiave è che se in Windows 10 sarà attivata questa funzione allora il secure kernel (Hypervisor) funzionerà a un livello più alto del rootkit, che quindi non potrà fare più danni. Il problema è che non sappiamo ancora se lo faranno, per via dei citati problemi di compatibilità.
conclude Andrea Allievi
Il problema concreto è che su un notebook professionali l'aggiornamento a Windows 10 potrebbe disabilitare il lettore d'impronte digitali. Ionescu comunque ha dimostrato che questa tecnologia, l'uso dell'HyperVisor, è presente in Windows 10 anche se disabilitata.
"È un grande passo avanti", secondo Andrea Allievi, "perché i rootkit possono girare solo a un livello più basso del kernel". Tecnicamente, comunque, Microsoft potrebbe lasciare all'utente finale la decisione di attivare questa protezione oppure no. Ionescu ci è riuscito per esempio usando comandi non documentati.
"Se escono davvero con una tecnologia simile è un gran passo avanti", conclude Allievi. Tra l'altro gli altri sistemi operativi, OS X e le varie distribuzioni Linux, non offrono nulla del genere in termini di protezione del kernel. L'unico progetto vagamente simile, nota infine Allievi, è Qubes OS; un progetto di Joanna Rutkowska, hacker già passata agli onori della cronaca per la famosa "Blue Pill".