Letta 2345 volte 18 ottobre 2006 alle 06.47 di netquik Fonte: eweek.com
BlueHat v4 e "Vitriol" HVM-Rootkit
LINK:
BlueHat v4 e Vitriol HVM-Rootkit
Durante l'hacker summit semestrale di Microsoft "BlueHat", che si svolgerà dal 26 al 27 Ottobre, verrà mostrato un nuovo concept di rootkit basato su macchina virtuale, un codice potenzialmente in grado di violare e bypassare la controversa tecnologia di protezione del kernel, PatchGuard, integrata nelle versioni x64 del nuovo Windows Vista. Dino Dai Zovi, dirigente dell'azienda di penetration-testing Matasano Security, è stato invitato al campus di Redmond per mostrare "Vitriol", un rootkit HVM-based che sfrutta l'estensioni di virtualizzazione hardware Intel VT-x. Zovi, esperto in tecniche di exploitation, attacchi wireless e sicurezza kernel, offrirà una presentazione del rootkit durante la conferenza, a cui partecipano membri selezionati della community di hacking, invitati per discutere dei problemi di sicurezza con impiegati e dirigenti Microsoft.

links e news "Vista Kernel": Ragioni di Symantec  -  HITB 2006, Win Vista e Free Drink  -  Altre 

In un blog-post, Zovi spega: "Le estensioni di virtualizzazione hardware-supported per processori, come VT-x di Intel, permettono di eseguire sistemi operativi multipli a piena velocità e senza modifiche, simultaneamente sullo stesso processore. Queste estensioni sono già supportate dai processori oggi sul mercato, come Intel Core Solo e Duo … Pur essendo molto utili per il multiple-OS computing, queste estensioni possono essere sfruttate anche dagli autori di rootkit".

La presentazione di "Vitriol" sarà un approfondimento della nota fatta da Zovi (PDF) durante il Black Hat Briefings ad Agosto scorso. Il ricercatore offrirà una spiegazione tecnica di come le estensioni VT-x di Intel possono consentire ad eventuali malintenzionati di installare un "rootkit hypervisor" che esegua il sistema originale in una macchina virtuale, in maniera "invisibile". Zovi prevede di dimostrare la capacità del rootkit di "spostare" il sistema operativo in esecuzione in una macchina virtuale hardware, "al volo" installandosi come ipervisore rootkit.

Zovi aggiunge che gli hypervisor possono essere anche usati per bypassare PatchGuard su sistemi a 64-bit. In risposta, Stephen Toulouse, security program manager di Microsoft, ha spiegato che PatchGuard si occupa di impedire le modifiche delle tabelle di dati e non di rilevare gli hypervisor: "Non c'è nulla che indichi che l'attacco stia provando a modificare il kernel, e posso confermare che Vitriol non viola la protezione di kernel patching". Zovi risponde sempre sul suo blog, ribadendo che Vitriol non è stato concepito come attacco per PatchGuard né sfrutta una debolezza specifica di questa tecnologia: "Si tratta piuttosto della dimostrazione della capacità degli hypervisor di controllare l'intero universo in cui si esegue il sistema operativo, e di ingannare o deviare qualsiasi sistema operativo che viene eseguito sotto di esso, violando così le difese in esecuzione su VM guest".

BlueHat v4 vedrà la partecipazione di un folto gruppo di ricercatori specializzati in OS kernel hardening, database security e application threat modeling. A quanto pare si vedranno molte "facce nuove", mentre i conferenzieri del precedente appuntamento svoltosi a Marzo 2006 sono stati invitati solo come "spettatori". A Marzo erano intervenuti sul palco, tra gli altri, David Litchfield e Alexander Kornbrust, esperti di database security, Caleb Sima, ricercatore di sicurezza per applicazioni Web, HD Moore, fondatore di Metasploit e Halvar Flake, guru del reverse engineering.

Il VM-rootkit di Zovi arriva sulla scia di "Blue Pill", un altro simile prototipo di rootkit basato su macchina virtuale, sviluppato da Joanna Rutkowska, ricercatrice che studia gli stealth malware per l'azienda di sicurezza COSEINC. Abbiamo ampiamente parlato di "Blue Pill" in varie news precedenti. Rutkowska ha presentato una "metodologia generica", funzionante, per inserire codice arbitrario nel kernel di Vista Beta 2 (x64 edition) senza necessità di reboot di sistema. La nuova tecnica è effettivamente in grado di bypassare una policy cruciale anti-rootkit integrata in Vista, che prevede che i software kernel-mode siano dotati di firma digitale per essere caricati nei sistemi x64-based. La ricercatrice ha parallelamente dimostrato il concept rootkit "Blue Pill", "100% invisibile", che sfrutta la tecnologia di virtualizzazione AMD SVM/Pacifica per creare un hypervisor ultra-leggero capace di prendere il controllo del sistema operativo "sottostante". Rutkowska ha dichiarato di non essere stata invitata al prossimo BlueHat.
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
 ONLINE
OSPITI 7
UTENTI 0
VISITE OGGI
48
 VISITE TOTALI
5.969.379
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X