Microsoft bloquea un hack del “Black Hat” para Vista

Microsoft ha modificado Windows Vista para prevenir un hack que fue mostrado en un destacado acontecimiento de seguridad este verano, pero la solución puede significar un problema.

Joanna Rutkowska, una investigadora polaca de Coseinc con sede en Singapur, mostró el hack en el Black Hat en agosto. Mostró que era posible evitar las medidas de seguridad en las versiones de 64 bit de Vista destinadas a impedir ejecutar el código de driver no firmado. El desvío podría permitir la instalación de drivers malévolos, una amenaza seria, porque funcionan en un nivel bajo en el sistema operativo.
Rutkowska también probó su abuso en Windows Vista Release Candidate 2, la versión final de prueba del sistema operativo editado a principios de este mes. “Rápidamente resultó que nuestro abuso no funciona más,” escribió Rutkowska en su blog el pasado jueves.
Son buenas noticias, pero podría mantener algunos problemas. Microsoft parece haber frustrado el ataque bloqueando el acceso de escritura a sectores de disco raw para aplicaciones que corren en modo usuario, aun si son ejecutados con elevados derechos administrativos, escribió Rutkowska. “Lo que es una idea mala,” escribió.
El modo de Microsoft de bloquear el ataque puede causar problemas de compatibilidad para programas tales como editores de disco y herramientas de recuperación, escribió Rutkowska. Tales aplicaciones necesitarán ahora su propio, firmado, driver de nivel kernel para funcionar, escribió.
Además, el modo de Microsoft de bloquear el ataque no es una verdadera solución del problema, argumentó Rutkowska. Un atacante podría secuestrar un driver legítimo y todavía hacer el mal, dijo. “Nada podría parar a un atacante de tomar prestado tal driver firmado y usarlo para realizar el… ataque,” escribió.