domingo, 1 de julio de 2007

VBootkit Bypasses Vista’s Digital Code Signing

En los expertos Black Hats de la seguridad de Europa de los hackers (en Amsterdam) de la India (Nitin y Vipin Kumar de los laboratorios del nanovoltio) demostró un cargador especial del cargador que consigue alrededor de los mecanismos de código-firma de Vista. Conocido como VBoot y lanzar de un CD y patear Vista puede realizar cambios en marcha en memoria y en los archivos que son leídos.

En una demostración, el “kit del cargador” manejó funcionar con privilegios del núcleo y las derechas del sistema de la edición a un CMD descascan cuando funcionan en Vista RC2 (estructura 5744), uniforme sin una firma de Microsoft.

Los expertos dicen que el problema fundamental que éste destaca es que cada etapa en el proceso del booting de Vista trabaja en la fe oculta que toda antes de él funcionó limpio. El kit del cargador puede por lo tanto copiarse en la imagen de la memoria incluso antes de que Vista ha pateado y la interrupción 13 de la captura, que los sistemas operativos utilizan para el acceso leído a los sectores de impulsiones duras, entre otras cosas.

Tan pronto como el sector del cargador del NT cargue Bootmgr.exe, VBootkit remienda las preguntas de la seguridad que aseguran integridad y se copia en un área inusitada de la memoria. Algo similar se hace con las etapas subsecuentes del cargador de Winload.exe y de NTOSKrnl.exe de modo que el kit del cargador esté funcionando en el fondo cuando el sistema finalmente se patea; están nunca los nuevos mecanismos de la seguridad de Vista, que fueron pensados para evitar que el código sin firmar sea ejecutado con privilegios del núcleo, fijaron apagado.

Interesando eh, visto como si Microsoft touts Vista como así que asegurarla… y él se separa ya.

Puede ser que conduzca a algunos workarounds interesantes para DRM y la protección contenta video.

Black Hat release:

El kit de Vboot es primer de su tecnología buena para demostrar la subversión del núcleo de Windows Vista usando el sector de encargo del cargador. El kit de Vboot demuestra cómo el código de encargo del sector del cargador se puede utilizar para evitar los mecanismos enteros de la protección y de la seguridad de Windows Vista. El proceso del booting de las ventanas Vista es substancialmente diferente de las versiones anteriores de Windows. La charla te dará:

  • los detalles y saben los abouts para el proceso del booting de Vista.
  • explicar la funcionalidad del kit del vboot y cómo trabaja.
  • penetración en el núcleo de Windows Vista.

También repasaremos el código de Shell del anillo 0 de la muestra (para Vista). El shellcode de la muestra levanta con eficacia los privilegios de ciertos programas al SISTEMA. Una demostración viva del PC del kit del vboot será hecha.

Fuente:Heise Security

No hay comentarios: