• Tweet

Un hueco de seguridad sin corregir en los controladores ATI, crea medios para pasar malware inadvertidamente más allá de los mecanismos de defensa y seguridad de la última versión de Windows y del kernel de Vista.

Microsoft está trabajando con ATI en una actualización la cual advierten los expertos de seguridad esta lejos de ser inequivoca.

La existencia del hueco de seguridad en el controlador ATI, salió a la luz despues de que el desarrollador Alex Ionescu liberará una herramienta de prueba de concepto llamada Purple Pill, la cual crea un mecanismo sencillo para cargar y descargar controladores sin firmar (maliciosos potencialmente) en Vista. La utilidad supero las nuevas defensas anti-rootkit construidas en Vista al dar de baja las verificaciones de controladores firmados.

Ionescu tiró de la utilidad horas después de su liberación despues de darse cuenta del hueco del driver ATI al utilizar Purple Pill, del cual se entero en una presentación de seguridad en el kernel de Vista por la experta en seguridad Joanna Rutkowska la semana pasada en Black Hat , sin embargo aún debe ser corregida.

La funcionalidad de Purple Pill es similar a Atsiv, una herramienta diseñada por los laboratorios australianos Linchpin, como parte de un proyecto de investigación en la firma del controlador. Microsoft respondió que la creación de Atsiv era para revocar sus certificados y clasifico la herramienta como malware, avergonzando a los laboratorios Linchpin. Atsiv se había desarrollado en un proyecto que permitía que los usuarios de hardware legal, usaran su kit en vista sin los controladores firmados.

Siguiendo el mismo enfoque para Purple Pill, no esta cerca de ser inequívoco porque este se transporta sobre un certificado de seguridad para un controlador de hardware el cuál es instalado en un 50% de computadoras portátiles.

“Esto se puede describir solamente como uno de esos momentos que podrían hacer que cualquier persona en Microsoft comenzará a llorar”, escribió Ollie Whitehouse, un investigador de seguridad de Symantec.

“Lo que ATI va a tener que hacer probablemente es conseguir un certificado nuevo, firmar versiones estables de todos sus controladores afectados, y liberarlos vía Windows Update. Solo entonces Microsoft conseguirá que VeriSign revoque las firmas de los certificados.”

Todo esto destaca los grandes problemas en código-firmado para Vista, Atsiv demostró como fue fácil conseguir cualquier viejo código firmado. Purple Pill, ilustró que incluso los controladores firmados tienen huecos.

Microsoft está trabajando con ATI para conseguir que el controlador sea reparado.