Η έλλειψη ευρείας υποστήριξης BitLocker στα Windows 7 σημαίνει ότι πολλοί χρήστες έχουν κερδίσει "

Το VBootkit 2.0 είναι κώδικας απόδειξης ιδέας που αποκαλύφθηκε από τους ερευνητές ασφαλείας Vipin Kumar και Nitin Kumar της NVLabs στη διάσκεψη ασφάλειας Hack In The Box (HITB) που πραγματοποιήθηκε στο Ντουμπάι την περασμένη εβδομάδα. Ο κώδικας, ο οποίος είναι μόνο 3KB σε μέγεθος, επιτρέπει σε έναν εισβολέα να πάρει τον έλεγχο ενός υπολογιστή Windows 7 με την επισκευή αρχείων καθώς φορτώνονται στην κύρια μνήμη του συστήματος. Επειδή κανένα λογισμικό δεν τροποποιείται στον σκληρό δίσκο του υπολογιστή, η επίθεση είναι σχεδόν μη-ανιχνεύσιμη.

Το VBootkit 2.0 είναι μια ενημερωμένη έκδοση ενός παλαιότερου εργαλείου που ονομάζεται VBootkit 1.0 και μπορεί να πάρει τον έλεγχο ενός υπολογιστή Windows Vista με μια παρόμοια μέθοδο.

Με το VBootkit 2.0, όταν ένας εισβολέας έχει πάρει τον έλεγχο του υπολογιστή των Windows 7 κατά τη διάρκεια της διαδικασίας εκκίνησης, είναι σε θέση να πάρει πρόσβαση σε επίπεδο συστήματος στον υπολογιστή, το υψηλότερο δυνατό επίπεδο. Μπορούν επίσης να καταργήσουν τους κωδικούς πρόσβασης των χρηστών για να αποκτήσουν πρόσβαση σε προστατευμένα αρχεία και να αποβάλουν την προστασία DRM (διαχείριση ψηφιακών δικαιωμάτων) από αρχεία πολυμέσων. Οι κωδικοί πρόσβασης μπορούν στη συνέχεια να αποκατασταθούν, αποκρύπτοντας οποιαδήποτε απόδειξη ότι ήταν διακυβευμένη

"Δεν υπάρχει καμία λύση για αυτό, δεν μπορεί να διορθωθεί, είναι ένα πρόβλημα σχεδίασης", δήλωσε ο Vipin Kumar κατά την παρουσίασή του την περασμένη εβδομάδα, αναφερόμενος στην υπόθεση των Windows 7 ότι η διαδικασία εκκίνησης είναι ασφαλής από την επίθεση

Σε απάντηση, ένας εκπρόσωπος της Microsoft δήλωσε ότι η υποστήριξη των Windows 7 για το Trusted Platform Module (TPM) και την κρυπτογράφηση μονάδων BitLocker (BDE) σημαίνει ότι η επίθεση είναι "άκυρη" και υποβαθμίζει την απειλή για τους χρήστες.

Ο ισχυρισμός αυτός είναι εν μέρει σωστός. Οι μικροεπεξεργαστές TPM είναι μικροελεγκτές που περιέχουν κλειδιά κρυπτογράφησης και ψηφιακές υπογραφές, προσθέτοντας ένα επιπλέον επίπεδο ασφάλειας μέσω της επαλήθευσης υλικού των αρχείων λογισμικού. Το BDE είναι ένα χαρακτηριστικό προστασίας δεδομένων που διατίθεται σε ορισμένες εκδόσεις των Windows Vista που λειτουργεί με την κρυπτογράφηση δεδομένων στον σκληρό δίσκο ενός υπολογιστή. Οι TPM και BitLocker (συλλογικά) θα σταματήσουν να λειτουργούν τα VBootkit, αλλά το TPM δεν είναι διαθέσιμο σε υπολογιστές καταναλωτών - οι περισσότεροι από αυτούς - και ο BitLocker είναι διαθέσιμος μόνο σε εκδόσεις Vista υψηλής τεχνολογίας, "έγραψε το Nitin Kumar σε ένα ηλεκτρονικό ταχυδρομείο.

Ο περιορισμός του BitLocker σε εκδόσεις υψηλής τεχνολογίας των Windows Vista, που κοστίζουν περισσότερο από άλλες εκδόσεις, είναι σκόπιμη. Η Microsoft ταξινομεί τα Windows σε διαφορετικές εκδόσεις με διαφορετικές τιμές για να στοχεύσει διαφορετικές αγορές. Επειδή οι εταιρικοί πελάτες είναι πρόθυμοι να πληρώσουν περισσότερα για χαρακτηριστικά ασφαλείας όπως το BitLockers, αυτές οι δυνατότητες δεν προσφέρονται με λιγότερο δαπανηρές εκδόσεις του λειτουργικού συστήματος. Αυτή είναι μια έξυπνη προσέγγιση από την άποψη του μάρκετινγκ και των πωλήσεων προϊόντων, αλλά αφήνει εκατομμύρια χρήστες χωρίς το ίδιο επίπεδο προστασίας.

Το BitLocker δεν θα είναι διαθέσιμο σε όλες τις εκδόσεις των Windows 7, σύμφωνα με τα τελευταία σχέδια της Microsoft. Θα είναι διαθέσιμη ως χαρακτηριστικά των Windows 7 Enterprise και Windows 7 Ultimate, αλλά δεν θα είναι μέρος των άλλων τεσσάρων εκδόσεων του λειτουργικού συστήματος: Professional, Home Premium, Home Basic και Starter. Αυτό σημαίνει ότι οι υπολογιστές με αυτές τις γεύσεις των Windows 7, οι οποίοι είναι πιθανό να αντιπροσωπεύουν το μεγαλύτερο μέρος των χρηστών των Windows 7, δεν θα προστατεύονται από επιθέσεις τύπου VBootkit.

Ο κωδικός απόδειξης απόδειξης που παρουσιάστηκε στο HITB Dubai αντιπροσωπεύει περιορισμένη ασφάλεια απειλή επειδή ο εισβολέας πρέπει να έχει φυσικό έλεγχο ενός υπολογιστή για να χρησιμοποιήσει το VBootkit 2.0, φορτώνοντας το λογισμικό με ένα CD-ROM, μνήμη USB ή μέσω μιας θύρας FireWire. Αλλά αυτό δεν σημαίνει ότι ο κώδικας δεν μπορεί να τροποποιηθεί για απομακρυσμένη επίθεση.

Ο πρόδρομος του VBootkit, που ονομάζεται Bootkit, κυκλοφόρησε υπό την άδεια ανοιχτού κώδικα και τροποποιήθηκε από άλλους για απομακρυσμένες επιθέσεις σε υπολογιστές με Windows XP, δήλωσε ο Nitin Kumar.

Το VBootkit 2.0 θα μπορούσε να τροποποιηθεί για χρήση ως ιός BIOS, PXE (Περιβάλλον εκκίνησης πριν από την εκκίνηση) ή έναν κανονικό ιό εκκίνησης. Ως αποτέλεσμα, τα NVLabs σχεδιάζουν να διατηρήσουν τον κώδικα VBootkit 2.0 κάτω από περιτύλιξη. «Επειδή υπάρχει κάποια άνεση στην απόφαση της NVLabs να μην κυκλοφορήσει τον κώδικα VBootkit 2.0, το ιστορικό έδειξε ότι αν μια ομάδα των ερευνητών της ασφάλειας μπορεί να βρει και να εκμεταλλευτεί μια ευπάθεια, μια άλλη ομάδα ή άτομα μπορούν να την εκμεταλλευτούν επίσης.