Het eerste ernstige lek in Windows 7

Beveiligingsonderzoekers hebben een lek in Windows 7 gevonden dat kan worden gebruikt om een systeem met dit besturingssysteem over te nemen. De kwetsbaarheid zou niet door Microsoft verholpen kunnen worden.

Beveiligingexperts Vipin en Nitin Kumar demonstreerde een proof-of-concept van de exploit tijdens The Box Security Conference in Dubai, schrijft Networkworld. Ze lieten zien hoe ze met de door hun geschreven code, VBootkit 2.0 genaamd, een virtuele Windows 7-machine tijdens het booten konden overnemen. "Repareren kan niet, het is een ontwerpfout", beweerde Vipin Kumar. VBootkit 2.0 zou gebruikmaken van het feit dat de Windows 7-ontwerper ervan zijn uitgegaan dat Windows 7 tijdens de bootprocedure niet voor een aanval vatbaar is.

Dat uitgangspunt klopt gedeeltelijk en de impact van de exploit is daarom beperkt: een aanvaller moet namelijk fysiek toegang hebben tot de machine die hij wil overnemen, en na een reboot verliest hij de controle over het systeem. VBootkit 2.0 wijzigt de Windows 7-bestanden die tijdens het booten in het systeemgeheugen geladen worden; de code laat de bestanden op de harde schijf echter met rust. Hoewel de data in het systeemgeheugen bij een reboot wordt verwijderd, betekent het feit dat VBoot hier plaatsneemt ook dat de code moeilijk te detecteren is.

VBoot stelt een aanvaller na een geslaagde overname in staat om het systeem op afstand te beheren, zich meer rechten toe te kennen en een gebruikerswachtwoord te verwijderen. De code kan er ook voor zorgen dat het wachtwoord na een reboot weer hersteld wordt, zodat de hack moeilijk te detecteren is. De beveiligingsonderzoekers toonden overigens al in 2007 tijdens de Europese Black Hat-conferentie een vroege versie van VBoot, die Windows Vista-systemen kon overnemen.

bron: Tweakers.net