Linchpin Labs present? hace unos d?as una herramienta gratuita (Atsiv) que permite saltarse una restricci?n impuesta en Windows Vista bajo arquitecturas de 64 bits: la instalaci?n de controladores que modifiquen de alguna forma el kernel, est? limitada a las compa??as que firmen criptogr?ficamente esos drivers. Con esta herramienta, en un principio cualquier programa, aun sin estar firmado, podr?a eludir esta restricci?n.Una de las mejoras de seguridad de Vista bajo 64 bits es la limitaci?n de instalaci?n de drivers a nivel de kernel (no de usuario), de forma que solo los firmados podr?an instalarse (al menos en modo normal, en modo seguro o a prueba de fallos esta limitaci?n no existe). Con esto se pretende que s?lo las empresas en principio “serias” que firmen su software (y tengan dinero para ello) pueden tocar el coraz?n del sistema y por tanto modificar su comportamiento. Firmar criptogr?ficamente implica que una autoridad de (supuesta) confianza garantiza que el software ha sido creado por una empresa en concreto y que no ha sido modificado desde que fue firmado (integridad). En ning?n momento se pueden garantizar las intenciones o funcionalidad de un software firmado.
Cuando se anunci? esta medida, hubo cierta controversia en el mercado del software. Las empresas o desarrolladores que no quisieran realizar la inversi?n necesaria para firmar el c?digo no podr?an tocar el kernel de forma sencilla en la arquitectura de 64 bits. ?Por qu? s?lo en la de 64 bits? Microsoft pens? que este cambio en Vista bajo una plataforma a?n tan popular como la de 32 bits, para la que todav?a existe tanto software legado del pasado, supondr?a una ruptura demasiado radical. Decidi? incluir esta modificaci?n en la plataforma de siguiente generaci?n, haciendo m?s gradual un giro de filosof?a que afectaba a muchos fabricantes y podr?a resultar traum?tica.
Con esta medida se limita en buena parte que el malware toque las tripas del sistema, t?picamente rootkits. Los creadores de rootkits que no firmen su c?digo no podr?n instalarlo en Windows Vista de 64 bits, ofreciendo as? cierta garant?a al menos de la procedencia de los controladores. Esto, adem?s de inc?modo para algunos, no ofrece una protecci?n total. Obviamente, los atacantes podr?an crear empresas ficticias y tomarse la molestia de enviar sus certificados para ser firmados, o hacerlo a trav?s de autoridades de dudosa confianza… pero no ser?a la situaci?n t?pica. Tambi?n siguen teniendo la oportunidad de firmar e instalar las empresas de “greyware”, en cierta forma leg?timas y toleradas.
Como era de esperar (y probablemente ocurrir? con otras medidas de seguridad en Vista) ya han aparecido herramientas capaces de (no saltarse sino) aprovechar esta restricci?n en “beneficio propio”. Linchpin Labs ha presentado Atsiv, un programa por l?nea de comandos que permite cargar drivers firmados o no, en cualquier Windows bajo cualquier arquitectura. Para hacerlo se basa en su propia firma, y una vez ejecutado, con su propio cargador lanza los no firmados. Una especie de trampol?n para que cualquier software pueda modificar el kernel.
No parece que esta herramienta pueda ayudar al malware a incrustarse en el sistema, porque (por ahora) siempre necesitar?a de una primera firma que permitiera lanzar los no firmados. S? que es posible que ayude a que muchas herramientas no firmadas, creadas por particulares, sean instaladas por los usuarios de forma voluntaria (o no, qui?n sabe). Con Atsiv, en vez de tener que estar firmadas, el usuario podr? instalarlas sin m?s, independientemente de qui?n las haya creado. Esto tendr? sus riesgos, pues al hacerlo ?a las bravas? sin comprobar niveles de dependencia, la estabilidad del sistema puede resentirse.
La mala noticia es que quiz?s esta utilidad proporcione ciertas pistas a los creadores de rootkits y malware en general para desarrollar algo parecido y utilizar programas firmados leg?timamente para incrustarse en el sistema cuando sea m?s popular. Tampoco se sabe si Microsoft revocar? el certificado de Atsiv para “inutilizarla”. El tiempo lo dir?.
http://www.hispasec.com/unaaldia/3203