Joanna Rutkowska ha vuelto a utilizar su famoso dardo Blue Pill para introducir código malicioso en Vista. Subió al estrado de Las Vegas y dijo: “voy a hablar de la protección kernel de Vista y de por qué no funciona”.

Ayer en la BlackHat Conference Joanna Rutkowska volvió a sorprender a todos con su claridad y detalle. Empezó leyendo un documento de Microsoft sobre Windows Vista en el que se decía que incluso los usuarios con privilegios de administrador no podían cargar código en modo kernel desautorizado en el sistema. Después se rió con disimulo.

El año pasado, Rutkowska utilizó su famoso Blue Pill, un malware que se introduce en el sistema de virtualización de Vista y otorga privilegios de supervisor.

Microsoft aseguro haber solucionado este problema antes de que saliera Vista a la venta, pero existen muchas formas de atacar Vista, Rutkowska lo demostró ayer.

Usando el controlador de NVIDIA como proxy para escribir código en el kernel, mostró cómo un rootkit es capaz de sobrepasar el sistema de seguridad kernel de Vista, que es el que debería evitar la entrada de código no autorizado.

El problema afecta a NVIDIA, ATI y a casi todos los demás controladores de terceros. Peor aún, los controladores están tan mal escritos y su arquitectura tan mal diseñada que un usuario ni siquiera necesita tener una tarjeta gráfica NVIDIA o ATI instalada con el controlador para aprovecharse de ello. Basta con incluir el archivo del controlador junto a cualquier otro lote de código, colocarlo en algún lugar de la unidad C: y utilizarlo después como un vector de ataque.

Actualización: Se puede descargar el código fuente de Blue Pill, en este enlace encontrarán más información de la técnica de Rutkowska (Morso, gracias por el aviso).

[ Código Blue Pill : ir a la pagina ]