Due esperti di sicurezza indiani hanno dimostrato il funzionamento di un software che consente, durante l'avvio del nuovo sistema operativo di Microsoft, di aggirarne la procedura che ne verifica l'originalità senza però rompere le protezioni
Una particolare vulnerabilità sarebbe emersa in Windows Vista: ne hanno illustrati i
dettagli alcuni esperti di sicurezza indiani in occasione della Black Hat Security di
Amsterdam: Nitin e Vipin Kumar, questo il nome dei rappresentanti del NV labs
impegnati nella presentazione, hanno dimostrato il funzionamento di un software di
loro progettazione che si inserisce nella procedura di avvio del sistema ed è capace
di aggirare il controllo del code signing, cioè il marchio che garantisce il legittimo
acquisto del software in questione. Così è facendo è possibile eseguire senza
problemi una copia pirata dell'ultima versione del sistema operativo di Microsoft con
il massimo dei privilegi.
Durante la dimostrazione di VBootkit, Nitin e Vipin Kumar sono riusciti a far partire
una versione RC2 di Vista avviando il sistema operativo da un CD contenente il loro
software. Così facendo VBootkit è in grado di operare "al volo" dei cambiamenti nella
memoria e nei file mentre questi sono letti. Un simile exploit dimostra come il grande
problema delle nuove procedure di sicurezza di Vista sia che per ogni stadio del
processo di autenticazione il sistema dà per scontato che ciò che è accaduto prima
sia andato a buon fine. Dunque non ci sono doppi controlli e una volta caricato prima
che avvenga l'avvio, VBootkit è libero di copiarsi in un settore non usato della memoria
e quindi di agire in background durante tutta la procedura di avvio del sistema, il tutto
senza che i sistemi di verifica Windows siano mai manomessi.
Il software, la cui realizzazione ha richiesto diverse settimane di lavoro, è inoltre in grado,
con qualche opportuna modifica, di applicare questo tipo di ragionamento e di "raggiro"
alle procedure di autenticazione dei driver per il nuovo Windows e anche alle misure di
sicurezza come i DRM per i DVD ad alta definizione. Infatti il sistema su cui si basa
VBootkit non è troppo diverso dal tipo di attacco che originariamente portò al primo
aggiramento delle protezione AACS per HD DVD. Si tratta di un nuovo tipo di procedure
che si fondano più sull'hardware che sul software e il cui obiettivo è intercettare le
informazioni cruciali nel breve tempo in cui risiedono in memoria per poi usarle in un
secondo momento per autenticarsi correttamente.
La dimostrazione di VBootkit è stata comunque fatta su una versione RC2 di Windows
Vista e non su quella finale per motivi economici. I due esperti indiani assicurano tuttavia
che il software funzioni ugualmente anche sulla versione completa.