Microsoft et une université américaine tentent d'élever des rootkits en captivité. Est-ce bien raisonnable '
Microsoft et une équipe de l'Université d'état du Michigan se sont associés afin de concevoir, à des fins de recherche, cela va sans dire, des rootkits, ces programmes malicieux qui échappent en temps normal à toute--ou presque--détection, et qui ont fait la gloire de Sony, récemment...
Là où l'affaire se corse, c'est que l'éditeur de Redmond et son partenaire oeuvrent à la réalisation d'une preuve de concept d'un rootkit apte à fonctionner sur des machines virtuelles, ces environnements théoriquement immunisés contre de telles menaces, puisqu'ils opèrent dans un contexte soigneusement cloisonné. Baptisé SubVirt, le rejeton de Microsoft et des universitaires doit normalement permettre de mieux cerner les éventuelles failles et autres vulnérabilités susceptibles d'affecter les environnements virtuels sous Windows ou Linux.
Si les recherches progressent comme prévu, le Groupe de Recherche sur la Gestion des Systèmes et la Cyber-sécurité de Microsoft devrait en présenter les résultats à l'occasion du prochain symposium de l'IEEE sur la sécurité et la vie privée, qui se déroulera du 21 au 24 mai prochains à Oakland, en Californie. Dans l'état actuel des choses, les détecteurs de rootkits les plus efficaces (et l'on pense inévitablement au Rootkit Revealer de Sysinternals) comparent la Base de Registre de Windows avec les API des fichiers systèmes, et pointent les incohérences. Dans le cas d'un rootkit qui se cache au sein d'une machine virtuelle, la détection est évidemment plus compliquée, puisque l'environnement virtuel est recréé à chaque ouverture de session. Chez Microsoft, on assure avoir réussi à fabriquer quatre programmes reprenant ces caractéristiques, notamment sous Windows XP Service Pack 2, afin d'en étudier les effets sur la stabilité du système, et de mieux en comprendre les mécanismes. L'étape suivante consistera, on s'en doute, en l'élaboration d'une parade efficace contre cette menace fantôme.
Evidemment, un rootkit qui se cacherait dans une machine virtuelle poserait de nouvelles questions en terme de sécurité informatique, puisque la machine virtuelle sert en quelque sorte de sous-couche logicielle à un système d'exploitation, permettant, par exemple, de faire tourner une version de Windows sur un PC normalement destiné à fonctionner sous Linux, et inversement. Si la couche logicielle qui contrôle le système d'exploitation est corrompue d'une quelconque manière, il est facile d'imaginer les éventuelles conséquences.
Selon les premiers résultats publiés par Microsoft, la mise en place de SubVirt sur deux plate-formes mixtes (Linux/VMWare et Windows/VirtualPC) s'est révélée d'une facilité enfantine, et une fois implantée, la menace est restée complètement masquée. Elle a pu dès lors faire venir ses petits camarades : virus, logiciels espions, vers, etc... La prochaine étape de l'étude visera à trouver des parades contre cette nouvelle famille de codes malicieux, qui peuvent même simuler un redémarrage ou une mise en veille prolongée du système ! Evidemment, une riposte possible serait de généraliser les protection mixtes logiciel/matériel que les principaux fabricants de processeurs et de cartes-mères nous promettent depuis plusieurs mois, ou de démarrer systématiquement depuis un support sûr, comme un CD, une clé USB ou un DVD, voire depuis un réseau sécurisé.
Un membre du groupe de recherche conclut la présentation de SubVirt en ces termes : "Nous sommes convaincus que les rootkits pour machines virtuelles constituent une menace réelle et tenace. On peut très facilement se procurer des machines virtuelles, de nos jours, et sur des systèmes x86, un rootkit peut fort bien fonctionner avec peu ou pas de différences visuelles par rapport à un environnement sain."
Et de reconnaître que pendant les différentes expériences menées en laboratoire, un des chercheurs s'est servi sans le savoir d'une machine infectée, et ne s'est rendu compte de rien...
Fantôme, la menace ' Oui, mais bien réelle.
Microsoft et une équipe de l'Université d'état du Michigan se sont associés afin de concevoir, à des fins de recherche, cela va sans dire, des rootkits, ces programmes malicieux qui échappent en temps normal à toute--ou presque--détection, et qui ont fait la gloire de Sony, récemment...
Là où l'affaire se corse, c'est que l'éditeur de Redmond et son partenaire oeuvrent à la réalisation d'une preuve de concept d'un rootkit apte à fonctionner sur des machines virtuelles, ces environnements théoriquement immunisés contre de telles menaces, puisqu'ils opèrent dans un contexte soigneusement cloisonné. Baptisé SubVirt, le rejeton de Microsoft et des universitaires doit normalement permettre de mieux cerner les éventuelles failles et autres vulnérabilités susceptibles d'affecter les environnements virtuels sous Windows ou Linux.
Si les recherches progressent comme prévu, le Groupe de Recherche sur la Gestion des Systèmes et la Cyber-sécurité de Microsoft devrait en présenter les résultats à l'occasion du prochain symposium de l'IEEE sur la sécurité et la vie privée, qui se déroulera du 21 au 24 mai prochains à Oakland, en Californie. Dans l'état actuel des choses, les détecteurs de rootkits les plus efficaces (et l'on pense inévitablement au Rootkit Revealer de Sysinternals) comparent la Base de Registre de Windows avec les API des fichiers systèmes, et pointent les incohérences. Dans le cas d'un rootkit qui se cache au sein d'une machine virtuelle, la détection est évidemment plus compliquée, puisque l'environnement virtuel est recréé à chaque ouverture de session. Chez Microsoft, on assure avoir réussi à fabriquer quatre programmes reprenant ces caractéristiques, notamment sous Windows XP Service Pack 2, afin d'en étudier les effets sur la stabilité du système, et de mieux en comprendre les mécanismes. L'étape suivante consistera, on s'en doute, en l'élaboration d'une parade efficace contre cette menace fantôme.
Evidemment, un rootkit qui se cacherait dans une machine virtuelle poserait de nouvelles questions en terme de sécurité informatique, puisque la machine virtuelle sert en quelque sorte de sous-couche logicielle à un système d'exploitation, permettant, par exemple, de faire tourner une version de Windows sur un PC normalement destiné à fonctionner sous Linux, et inversement. Si la couche logicielle qui contrôle le système d'exploitation est corrompue d'une quelconque manière, il est facile d'imaginer les éventuelles conséquences.
Selon les premiers résultats publiés par Microsoft, la mise en place de SubVirt sur deux plate-formes mixtes (Linux/VMWare et Windows/VirtualPC) s'est révélée d'une facilité enfantine, et une fois implantée, la menace est restée complètement masquée. Elle a pu dès lors faire venir ses petits camarades : virus, logiciels espions, vers, etc... La prochaine étape de l'étude visera à trouver des parades contre cette nouvelle famille de codes malicieux, qui peuvent même simuler un redémarrage ou une mise en veille prolongée du système ! Evidemment, une riposte possible serait de généraliser les protection mixtes logiciel/matériel que les principaux fabricants de processeurs et de cartes-mères nous promettent depuis plusieurs mois, ou de démarrer systématiquement depuis un support sûr, comme un CD, une clé USB ou un DVD, voire depuis un réseau sécurisé.
Un membre du groupe de recherche conclut la présentation de SubVirt en ces termes : "Nous sommes convaincus que les rootkits pour machines virtuelles constituent une menace réelle et tenace. On peut très facilement se procurer des machines virtuelles, de nos jours, et sur des systèmes x86, un rootkit peut fort bien fonctionner avec peu ou pas de différences visuelles par rapport à un environnement sain."
Et de reconnaître que pendant les différentes expériences menées en laboratoire, un des chercheurs s'est servi sans le savoir d'une machine infectée, et ne s'est rendu compte de rien...
Fantôme, la menace ' Oui, mais bien réelle.
Source :
Slashdot
