¿Por qué será que esta noticia no sorprende? Vipin Kumar and Nitin Kumar, analistas de seguridad informática de NVLabs, han probado una vez más el poco cuidado que demuestra Microsoft en sus productos estrella, en materia de seguridades.
Para probar esta afirmación, crearon una aplicación Vbootkit 2.0. (Disponible una presentación en para mayor información).
De acuerdo con NVLabs, esto puede ser realizado sin dejar huellas en el disco duro, por ende resulta invisible para la mayoria de antiviruses actuales.
En resumen:
We will demo Vbootkit 2.0 in action and show how to bypass and circumvent security policies / architecture using customized boot sectors for Windows 7 (x64). The talk will cover:
- Windows 7 Boot architecture
- Vbootkit 2.0 architecture and inner workings
- insight into the Windows 7 minkernel
We will also demonstrate:
- The use of Vbootkit in gaining access to a system without leaving traces
- Leveraging normal programs to escalate system privileges
- Running unsigned code in kernel
- Remote command & Control
Básicamente, por medio de un disco de arranque, sea desde el disco duro,disquete, Cd o flash memory, se podra acceder al momento de prender el computador, entrar al sistema, y, el detalle más escalofriante, resulta que es de una manera que no deja rastros.
Imagine por un momento, que alguien ingresa a su sistema, y se almacena en su memoria RAM, no el disco duro, lo cual hace casi imposible su detección. Una vez dentro, su computadora está en manos del hacker. Puede descargarse archivos, cambiar contraseñas, lo cualquier cosa. Luego, ¡poof!, desaparecer como si nunca hubiera estado allí. Gracias a Vbootkit 2.0, puede incluso restablecer la contraseña original, y salir de un computador de forma totalmente impune.
La ventaja, por así decirlo, es que este exploit es hasta ahora, ejecutable localmente, no de forma remota. Resulta bien improbable que alguna vez llegase a funcionar a manera de script, pero si llegase a darse la situación, sería un verdadero dolor de cabeza para los de Redmond.
