Oh My God ! Un Rootkit dans mon MBR !
Beaucoup de bruit récemment autour d'un rootkit s'installant dans le MBR.
L'article de Slashdot est un modèle d'incompréhension de la sécurité de Windows (ou d'un OS en général) :
"...MS blocked write-access to disk sectors from userland code on VISTA after the pagefile attack, however, the first sectors of disk are still unprotected..."
"...it looks like this way of affecting NT systems could be more common in near future if MBR stays unprotected."
L'argument ici est que le MBR n'est pas protégé parce qu'il est possible de l'écrire en mode user. Mon cher Paul, pour écrire sur un secteur physique, il faut des privilèges d'administrateur. Avec ces privilèges, il est possible de charger un driver en mode kernel. Donc l'écriture en mode user n'a rien à voir dans l'histoire, et le MBR est aussi bien "protégé" dans Windows que dans les autres OS.
Si l'on regarde de plus près le fonctionnement de ce malware, on voit qu'il effectue, entre autres, les opérations suivantes :
- installation d'un service
- démarrage du service
- installation d'un driver
- écriture du MBR sur \\.\PhysicalDrive0
Tout ceci suppose des privilèges d'administrateur... Faut-il encore rappeler que naviguer sur le web en tant qu'administrateur n'est pas la meilleure idée ?
Mise à jour 11/01/2008 - Ce sujet remet sur le tapis le fameux Vbootkit. Celui-ci ne nécessite pas de privilèges administrateur, mais un accès physique à la machine (reboot sur un CD.) Il est bon de rappeler que Bitlocker protège contre ce rootkit, grâce à son secure startup : démarrer sur un CD modifie la séquence de boot, ce qui interdit le démarrage de Windows. Plus d'informations ici.