BitLocker, TPM ne défendra pas tous les PC contre VBootkit 2.0

Les modules de plate-forme sécurisée et BitLocker Drive Encryption peuvent protéger les ordinateurs Windows 7 contre une attaque de bootkit dévoilée la semaine dernière, mais ces technologies ne seront pas disponibles sur une grande partie des ordinateurs, laissant des millions d'utilisateurs sans protection. prochaine version de Windows.

VBootkit 2.0 est un code de preuve de concept dévoilé par les chercheurs en sécurité Vipin Kumar et Nitin Kumar, de NVLabs, lors de la conférence Hack In The Box (HITB) tenue à Dubaï la semaine dernière. Le code, d'une taille de seulement 3 Ko, permet à un attaquant de prendre le contrôle d'un ordinateur Windows 7 en corrigeant des fichiers lorsqu'ils sont chargés dans la mémoire principale du système. Parce qu'aucun logiciel n'est modifié sur le disque dur de l'ordinateur, l'attaque est presque indétectable.

VBootkit 2.0 est une version mise à jour d'un outil antérieur, appelé VBootkit 1.0, qui peut prendre le contrôle d'un ordinateur Windows Vista par une méthode similaire.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Avec VBootkit 2.0, une fois qu'un attaquant a pris le contrôle de l'ordinateur Windows 7 pendant le processus de démarrage, il peut accéder à l'ordinateur au niveau système, le plus haut niveau possible. Ils peuvent également supprimer les mots de passe des utilisateurs pour accéder aux fichiers protégés et supprimer la protection DRM (gestion des droits numériques) des fichiers multimédia. Les mots de passe peuvent alors être restaurés, cachant toute preuve qu'il a été compromis.

"Il n'y a pas de solution, c'est un problème de conception", a déclaré Vipin Kumar lors de sa présentation la semaine dernière, se référant à l'hypothèse de Windows 7 En réponse, un représentant de Microsoft a déclaré que la prise en charge de Windows 7 pour TPM (Trusted Platform Module) et BDE (BitLocker Drive Encryption) signifie que l'attaque est "nulle", minimisant la menace pour les utilisateurs.

Cette affirmation est partiellement correcte. Les TPM sont des microcontrôleurs qui contiennent des clés de chiffrement et des signatures numériques, ajoutant un niveau de sécurité supplémentaire grâce à l'authentification matérielle des fichiers logiciels. BDE est une fonctionnalité de protection des données disponible dans certaines versions de Windows Vista qui fonctionne en cryptant des données sur le disque dur d'un ordinateur. Ce sont des protections puissantes qui protègent contre les attaques de bootkit, mais elles ne sont pas disponibles sur tous les ordinateurs. et BitLocker (collectivement) empêcheraient VBootkit de fonctionner.Mais TPM n'est pas disponible sur les PC grand public - la plupart - et BitLocker n'est disponible que dans les éditions Vista haut de gamme », écrit Nitin Kumar dans un e-mail.

Restreindre BitLocker aux versions haut de gamme de Windows Vista, qui coûtent plus cher que les autres versions, est intentionnel. Microsoft segmente Windows en différentes versions avec des prix variables pour cibler différents marchés. Étant donné que les entreprises clientes sont prêtes à payer davantage pour des fonctionnalités de sécurité telles que BitLockers, ces fonctionnalités ne sont pas proposées avec des versions moins coûteuses du système d'exploitation. C'est une approche intelligente du point de vue du marketing et des ventes, mais cela laisse des millions d'utilisateurs sans le même niveau de protection.

BitLocker ne sera pas disponible sur toutes les versions de Windows 7, selon les derniers plans de Microsoft. Il sera disponible en tant que fonctionnalités de Windows 7 Enterprise et Windows 7 Ultimate, mais ne fera pas partie des quatre autres versions du système d'exploitation: Professional, Home Premium, Home Basic et Starter. Cela signifie que les ordinateurs avec ces versions de Windows 7, susceptibles de représenter la majorité des utilisateurs de Windows 7, ne seront pas protégés contre les attaques similaires à VBootkit.

Le code de preuve de concept démontré par HITB Dubai représente une sécurité limitée menace car un attaquant doit avoir le contrôle physique d'un ordinateur pour utiliser VBootkit 2.0, charger le logiciel avec un CD-ROM, une clé USB ou via un port FireWire. Mais cela ne signifie pas que le code ne peut pas être modifié pour une attaque à distance.

Un précurseur de VBootkit, appelé Bootkit, a été publié sous une licence Open Source et a été modifié par d'autres pour des attaques à distance contre des ordinateurs fonctionnant sous Windows XP, dit Nitin Kumar.

VBootkit 2.0 pourrait être modifié comme virus BIOS, PXE Virus de démarrage (Pre-Boot Execution Environment) ou un virus de démarrage normal. En conséquence, NVLabs prévoit de garder le code VBootkit 2.0 sous enveloppe. "Nous n'avons pas l'intention de le rendre open source, en raison des risques de mauvaise utilisation", at-il dit.

Bien que la décision de NVLabs de ne pas publier le code VBootkit 2.0 soit un peu réconfortante, l'histoire a montré que si un groupe des chercheurs en sécurité peuvent trouver et exploiter une vulnérabilité, un autre groupe ou des individus peuvent l'exploiter aussi.