24 sept 2010

Descubren primer rootkit dirigido a Windows 64-bit





El ‘rootkit’ Alureon está de vuelta, y ha adquirido la habilidad de secuestrar computadoras que corren versiones de 64 bits de Microsoft Windows, declaró Marco Giuliani, investigador de seguridad de la compañía de seguridad Prevx.

Alureon (conocido también como TDL y Tidserv) ha conseguido mucha atención en febrero cuando se descubrió que estaba detrás de las caídas de sistemas que sucedían después que usuarios infectados intentaban actualizar su SO Windows.

Parece que en aquel momento, el rootkit fue incapaz de superar las características de seguridad que hacen a las versiones 64 bits de Windows Vista y 7 más seguro que sus contrapartes de 32 bits – a saber el Firmado de Código de Modo Kernel (Kernel Mode Code Signing) y la Protección de Parches de Kernel (Kernel Patch Protection).

El Firmado de Código de Modo Kernel no permite que drivers no firmados digitalmente accedan a la región de memoria del núcleo (y los rootkits de modo kernel a menudo no lo están), y la Protección de Parches de Kernel impide que los drivers de modo kernel puedan modificar áreas sensibles del núcleo de Windows. Pero ambos mecanismos de protección obviamente pueden ser superados por esta nueva versión de Alureon, que emparcha el Master Boot Record para poder interceptar las rutinas de inicio de Windows y luego cargar su driver.

“El rootkit necesita privilegios administrativos para infectar el Master Boot Record. Aún así, no puede cargar sus propio driver compatible de 64 bits debido a la seguridad del kernel de Windows. Entonces, fuerza a Windows a reiniciar inmediatamente. De esta forma el MBR emparchado puede hacer el trabajo sucio,” dice Giuliani.

Bien, reiniciando Windows “por si mismo” de esta forma, me parece un buen signo para comenzar a preocuparse.

Giuliani también señala que este no es el primer rootkit capaz de pasar esos bloqueos de seguridad – un bootkit denominado Whistler ha sido señalado siendo ofrecido en venta en varios mercados negros hace algún tiempo – pero esta es la primera vez que un rootkit así ha sido detectado libre en uso. Según él, la era de los rootkits x64 ha comenzado oficialmente.