Sino a qualche tempo fa, le versioni a 64 bit dei sistemi operativi Windows non erano mai prese di mira dagli autori di rootkit. Windows Vista e Windows 7 x64, infatti, non permettono a qualunque driver di accedere alla regione di memoria utilizzata dal kernel del sistema operativo: ciò avviene grazie ad un severissimo controllo sulle firme digitali dei vari elementi software coi quali si ha a che fare. Allorquando un driver non dovesse apparire firmato digitalmente, Windows ne impedisce automaticamente il caricamento. Questa tecnica protegge il sistema nei confronti dei rootkit “kernel mode” dal momento che i malware di solito non dispongono di una firma digitale. La seconda tecnica impiegata nelle versioni a 64 bit di Windows consiste nell’uso di PatchGuard (“Kernel Patch Protection“): si tratta di un livello di difesa aggiuntivo che impedisce eventuali tentativi di modifica delle aree “sensibili” che compongono il kernel del sistema operativo.
Lo scenario è recentemente mutato con la comparsa in Rete di TDL3, nuova variante del famoso rootkit che, per infettare anche i sistemi a 64 bit, sfrutta un efficace espediente: l’infezione del Master Boot Record (MBR) del disco fisso. Maggiori dettagli sull’approccio utilizzato dal malware sono disponibili in questo nostro articolo.
Microsoft ha recentemente risolto una vulnerabilità sfruttata da TDL per infettare il sistema operativo. Il rilascio dell’aggiornamento è avvenuto all’infuori del “patch day” mensile, la giornata da tempo vocata alla pubblicazione dei bollettini di sicurezza per Windows e gli altri software targati Microsoft. L’aggiornamento KB2506014 che, com’è verificabile facendo riferimento a questa pagina, è appunto destinato a Windows 7, Windows Vista, Windows Server 2008 e Windows Server 2008 R2 nelle versioni a 64 bit, permette di risolvere le lacune sfruttate da TDL e presenti nei file Winload.exe
e kdcom.dll
caricati al boot del sistema.
Stando a quanto riferito da Marco Giuliani, Malware Technology Specialist per Prevx, tuttavia, gli autori di TDL4 avrebbero già trovato una soluzione per “dribblare” le modifiche operate dai tecnici Microsoft. Il rootkit, in particolare, riuscirebbe a modificare in tempo reale le nuove routine per il controllo della firma digitale implementate al boot di Windows in modo tale che esse restuiscano un codice d’errore inesistente. In questo modo, il sistema operativo, non riconoscendo tale messaggio d’errore, proseguirà normalmente con la procedura di boot caricando il modulo (non firmato digitalmente) appartenente a TDL4.
Il primo esempio di rootkit “kernel mode” studiato espressamente per i sistemi Windows x64 non è quindi stato affatto sconfitto. Anzi, come si evince nell’analisi tecnica pubblicata a questo indirizzo, sembra tornato più forte e pericoloso di prima.
I vettori d’infezione sono sempre gli stessi: il malware, infatti, può arrivare dai circuiti peer-to-peer, mascherandosi sotto forma di software legittimo e conosciuto, da siti web ospitanti materiale in violazione delle leggi sul diritto d’autore e da pagine che sfruttano vulnerabilità del browser per installare elementi nocivi.