Beveiligingsonderzoekers hebben op de Hack In The Box Security Conference in Dubai gedemonstreerd hoe ze elke Windows 7-computer met fysieke toegang over kunnen nemen.
De onderzoekers Vipin Kumar en Nitin Kumar gebruikten het zelf geschreven VBootkit 2.0 met een grootte van slechts 3 KB om een virtuele machine tijdens het opstartproces van Windows 7 over te nemen.
Het programma werkt door de bestanden die tijdens het opstarten worden geladen te veranderen. Hierdoor worden geen bestanden op de harde schijf aangepast en is VBootkit 2.0 uiterst lastig te detecteren. Echter, dit heeft ook enkele nadelen.
Na het opnieuw opstarten verliest VBootkit 2.0 namelijk zijn controle over het systeem, omdat de data in het systeemgeheugen dan verloren gaat.
Volgens de onderzoekers is dit probleem niet op te lossen. "Dit kan niet opgelost worden. Het is een ontwerpprobleem", vertelde Vipin Kumar. Hij legde uit dat het Windows 7-team er vanuit is gegaan dat het besturingssysteem tijdens het opstarten standaard veilig is.
Het programma is niet per se een ernstige dreiging voor Windows 7. Om de aanval succesvol te laten verlopen is namelijk fysieke toegang tot het systeem vereist, daarna is het echter wel mogelijk de pc op afstand te besturen.
VBootkit 2.0 is zoals het versienummer al doet vermoeden een opvolger van een eerder hackprogramma betreffende problemen met het Windows-opstartproces. In 2007 werd versie 1.0 gedemonstreerd op de Black Hat Conference.
Deze nieuwe versie heeft de mogelijkheid om wachtwoorden van gebruikers weg te halen, zodat alle bestanden beschikbaar worden. Bovendien kan daarna het wachtwoord weer hersteld worden, zodat de aanval niet zomaar opgemerkt wordt.
10 minuten geleden
