Перехват управления при загрузке Windows 7

На конференции Hack In The Box Security Conference (HITB) в Дубае индийские специалисты в области компьютерной безопасности продемонстрировали технику перехвата управления машиной при загрузке операционной системы Windows 7, находящейся еще в стадии разработки. Випин Кумар (Vipin Kumar) и Нитин Кумар (Nitin Kumar) сумели создать экспериментальный код, названный VBootkit 2.0, который может позволить злоумышленнику захватить компьютер под управлением Windows 7 во время загрузки. Его работа была показана на примере виртуальной машины Windows 7.

Випин Кумар уверен, что Windows 7 создана, исходя из предпосылки, согласно которой процесс начальной загрузки системы не предоставляет никаких возможностей для внешнего вторжения: "Решения этой проблемы не существует. Она и не может быть решена – это дефект структуры системы". Несмотря на столь серьезное заявление, обнаруженная уязвимость вряд ли представляет собой серьезную угрозу безопасности. Для осуществления атаки злоумышленник должен получить физический доступ к компьютеру, поскольку ее невозможно провести в удаленном режиме.

Программа VBootkit 2.0 размером всего в 3 Кб позволяет вносить изменения в копии системных файлов операционной системы в тот момент, когда они загружаются в память. Поскольку оригинальные версии файлов, сохраненные на диске, остаются неизменными, обнаружить следы деятельности VBootkit 2.0 очень непросто. По той же причине после перезагрузки компьютера атакующий теряет возможность управлять системой.

Первая версия программы VBootkit была официально представлена в 2007 году на конференции Black Hat Europe, когда с ее помощью была продемонстрирована аналогичная уязвимость процесса загрузки Windows Vista и осуществлен ее успешный захват. Комментариев от представителей Microsoft по этому поводу так и не последовало.

VBootkit 2.0 позволяет удаленно управлять захваченным компьютером, а также повышать привилегии пользователя до уровня system – высочайшего из возможных. С ее помощью злоумышленник может удалить пароль любого пользователя системы и получить доступ к его файлам, а после перезагрузки первоначальный пароль восстанавливается, и атака остается незамеченной.