Nonostante l'impegno, i ricercatori rilasciano il codice VBootkit 2.0

I ricercatori di sicurezza indiani hanno rilasciato un codice proof-of-concept che può essere utilizzato per rilevare un computer che utilizza il sistema operativo Microsoft Windows 7, nonostante prometta di non rendere pubblico il codice per timore che possa essere utilizzato in modo improprio.

VBootkit 2.0 è stato sviluppato dai ricercatori Vipin Kumar e Nitin Kumar ed è ora disponibile per il download con una licenza open source.

Presentato il codice proof-of-concept alla conferenza di sicurezza Hack In The Box (HITB) a Dubai il mese scorso, dove hanno mostrato come potrebbe essere usato per dare a un utente malintenzionato il controllo completo su un computer Windows 7, inclusa la possibilità di rimuovere e ripristinare le password degli utenti senza una protezione DRM (digital rights management) ia file.

[Ulteriori letture: i nostri migliori trucchi, suggerimenti e tweaks di Windows 10]

"Non abbiamo piani per renderlo open source, a causa di possibilità di uso improprio", ha scritto Nitin Kumar in aprile 27 e-mail.

In una e-mail che annunciava il rilascio di VBootkit 2.0, Vipin Kumar non offriva un motivo per il loro evidente cambiamento di cuore. Ma in un messaggio di follow-up, ha detto che volevano aiutare gli altri ricercatori a sviluppare nuove difese contro questi tipi di attacchi.

"Tutto ciò che stiamo cercando di fare è aiutare più persone a capire il vero nemico, il malware, così nuovo le innovazioni possono verificarsi ", ha scritto Vipin Kumar.

Microsoft non considera VBootkit 2.0 una seria minaccia. "Qualsiasi affermazione fatta sull'evento relativo a Windows 7 che presenta una vulnerabilità di sicurezza non è vera", ha affermato il produttore di software in una dichiarazione via e-mail.

L'asserzione di Microsoft è tecnicamente vera. VBootkit 2.0 non sfrutta una vulnerabilità di sicurezza. Al contrario, sfrutta un difetto di progettazione nel sistema operativo, che presuppone che il processo di avvio possa essere considerato attendibile e sia al riparo dagli attacchi. VBootkit 2.0 funziona modificando i file caricati nella memoria principale di un computer, un tipo di attacco che Windows 7 non è progettato per arrestare da solo.

Questo tipo di attacco può essere bloccato utilizzando Crittografia unità BitLocker (BDE) e un Trusted Platform Module, ma queste funzionalità non saranno disponibili su molti computer Windows 7.

Microsoft ha anche citato la natura della dimostrazione di VBootkit 2.0 come ulteriore prova del fatto che non presenta una minaccia. "Con lo scenario che abbiamo visto, non c'è dubbio che Windows 7 possa essere scomposto o compreso da remoto, ad esempio da un utente malintenzionato che utilizza un exploit malevolo su Internet", ha affermato Microsoft.

Tuttavia, VBootkit 2.0 è solo un prova del concetto, intesa a dimostrare che un attacco può funzionare. Il codice può essere modificato da un utente malintenzionato e utilizzato per un attacco remoto, come è stato fatto con altri attacchi bootkit, ha detto Nitin Kumar.