Lors de la conférence Hack In The Box Security qui s'est déroulée cette semaine à Dubaï, deux chercheurs en sécurité informatique ont fait la démonstration d'une prise de contrôle d'une machine virtuelle Windows 7 lors de son démarrage. Un exploit rendu possible via un programme de leur conception pesant à peine 3 ko et baptisé VBootkit 2.0. Un numéro de version qui laisse supposé un précédent qui avait tiré parti d'une vulnérabilité dans Windows Vista en 2007.
Avec leur preuve de concept mettant à mal le système d'exploitation à venir de Microsoft, Vipin Kumar et Nitin Kumar peuvent à priori soulever quelques inquiétudes, d'autant qu'ils ont déclaré selon des propos rapportés par Network World : " Il n'existe pas de correctif pour ce problème. Cela ne peut pas être corrigé. C'est un problème de conception ".
VBootkit 2.0 modifie les fichiers chargés par Windows 7 dans la mémoire système lors du processus de démarrage. Ainsi, aucun fichier dans le disque dur n'est modifié, ce qui rend VBootkit 2.0 très difficile à détecter mais en " contrepartie ", un redémarrage rend caduc le problème de sécurité ( nettoyage de la mémoire système ).
De quoi déjà rassurer mais un facteur encore plus limitant à toute attaque vient du fait que VBootkit 2.0 ne peut pas être installé à distance, et l'attaquant doit avoir un accès physique à la machine de la victime. Après, c'est une autre histoire avec prise de contrôle à distance, élévation des privilèges utilisateur, suppression du mot de passe utilisateur et donc accès à tous les fichiers. Un mot de passe qui est restauré après attaque pour ne laisser aucune trace.
