Til trods for løfte frigør forskere VBootkit 2.0-kode

Indiske sikkerhedsforskere har udgivet proof-of-concept-kode, der kan bruges til at overtage en computer, der kører Microsofts kommende Windows 7-operativsystem, på trods af at det tidligere var lovende at ikke offentliggøre koden for frygt for, at den kunne blive misbrugt.

VBootkit 2.0 blev udviklet af forskerne Vipin Kumar og Nitin Kumar og er nu tilgængelig til download under en open source-licens.

De afslørede proof of concept-koden på HITB-sikkerhedskonferencen (HITB) i Dubai i sidste måned, hvor de viste, hvordan det kunne bruges til at give en angriber fuld kontrol over en Windows 7-computer, herunder evnen til at fjerne og gendanne brugeradgangskoder uden spor og strip DRM (digital rights management) beskyttelse fra med IA-filer.

[Yderligere læsning: Vores bedste Windows 10-tricks, tips og tweaks]

"Vi har ingen planer om at gøre den åben kilde på grund af chancer for misbrug," skrev Nitin Kumar i april 27 e-mail.

I en e-mail, der annoncerede udgivelsen af ​​VBootkit 2.0, gav Vipin Kumar ikke en grund til deres tilsyneladende hjerteændring. Men i en opfølgningsmeddelelse sagde han, at de ønskede at hjælpe andre forskere til at udvikle nye forsvar mod disse typer angreb. "Alt, hvad vi forsøger at gøre, er at hjælpe flere mennesker til at forstå den virkelige fjende, malware, så ny innovationer kan forekomme, "skrev Vipin Kumar.

Microsoft anser ikke VBootkit 2.0 for alvorlig. "Eventuelle krav i forbindelse med Windows 7, der har en sikkerhedsproblem, er ikke sandt," sagde softwareproducenten i en e-mail-erklæring.

Microsofts påstand er teknisk sandt. VBootkit 2.0 udnytter ikke en sikkerhedsproblemer. I stedet udnytter den en konstruktionsfejl i operativsystemet, hvilket forudsætter, at opstartsprocessen kan stole på og er sikker fra angreb. VBootkit 2.0 virker ved at ændre filer, som de er indlæst i computerens hovedhukommelse, en type angreb, som Windows 7 ikke er designet til at stoppe alene.

Denne type angreb kan blokeres ved at bruge BitLocker Drive Encryption (BDE) og et Trusted Platform Module, men disse funktioner vil ikke være tilgængelige på mange Windows 7-computere.

Microsoft citerede også karakteren af ​​VBootkit 2.0 demonstrationen som yderligere bevis for, at det ikke udgør en trussel. "Med det scenario, vi har set rapporteret, er der ingen tvivl om, at Windows 7 bliver brudt op eller fjernt - ved at en angriber bruger en ondsindet udnyttelse over internettet for eksempel", siger Microsoft.

VBootkit 2.0 er dog kun en Bevis for koncept, beregnet til at illustrere, at et angreb kan fungere. Koden kan ændres af en angriber og bruges til et fjernt angreb, som det er sket med andre bootkit-angreb, siger Nitin Kumar.