Divulgado Código Fonte do Novo "Blue Pill"

Detectando o Blue Pill

Segurança na Microsoft — Fri, 03 Aug 2007 16:10:36 GMT

All non-trivial abstractions, to some degree, are leaky. - Joel Spolsky, The Law of Leaky Abstractions

re: Divulgado Código Fonte do Novo "Blue Pill"

Gustavo Bittencourt — Fri, 03 Aug 2007 20:03:15 GMT

Cima,

Imaginando o cenário que a Joanna colocou onde muitos sistemas vão funcionar abaixo de um hypervisor válido.

Não sei se o AMD-V e o Vanderpool permitem trocar o hypervisor "on-the-fly", mas se for possível, um código no ring 0 poderia sobrepor o hypervisor válido por um rootkit.

Se não for possível trocar o hypervisor "on-the-fly", o rootkit pode preparar o sistema para carregá-lo no próximo boot antes da carga do hypervisor válido.

Nessas situações (se realmente forem possíveis), um anti-rootkit teria problemas para detectar a troca do hypervisor válido por um rootkit utilizando as técnicas até então apresentadas.

Me corrija se escrevi alguma besteira acima, minhas funções hoje estão cada vez mais longe dos bits e bytes e fica difícil manter se tecnicamente atualizado com assuntos como hardware supported virtualization.

[]s

re: Divulgado Código Fonte do Novo "Blue Pill"

fcima — Fri, 03 Aug 2007 21:58:30 GMT

Oi Gustavo,

Ao que eu saiba qualquer tentativa de iniciar a virtualização por hardware vai ser interceptada por um hypervisor já existente. Não acho que seja possível trocar o hypervisor "on-the-fly" sem o conhecimento (e a concordância) do hypervisor existente.

Seu ponto sobre a troca de hypervisor em um boot procede se o atacante tiver acesso físico ao sistema. No entanto ataques deste tipo são bloqueados por exemplo por um chip TPM validando o hypervisor - um caminho que está sendo seguido já pela Intel (http://www.intel.com/technology/security/downloads/LT_Arch_Overview.htm).

Abracos!

http://blog.mhavila.com.br/category/so/windows/

TrackBack — Sat, 18 Aug 2007 14:44:48 GMT

http://blog.mhavila.com.br/category/so/windows/

TrackBack — Sat, 15 Sep 2007 06:40:15 GMT