Ataques “Blue Pill” a sistemas virtualizados podem ter cura

Investigadores da Universidade da Carolina do Norte, nos Estados Unidos, desenvolveram o HyperSafe, um software capaz de proteger os hipervisores de virtualização dos ataques à segurança baseados no rootkit “Blue Pill”.

“O HyperSafe permite ao hipervisor proteger-se a si próprio das tentativas de injecção de código malicioso”, explica Xuxian Jiang, professor de ciência informática da Universidade que desenvolveu o software em conjunto com o estudante Zhi Wang.
No desenvolvimento do novo software foram aproveitadas algumas das ideias de protecção do kernel do HookSafe, um software de protecção contra rootkits desenvolvido no ano passado também por Jiang, que as aplica agora aos hipervisores de virtualização.
Os ataques típicos contra hipervisores exploram qualquer tipo de vulnerabilidade, como por exemplo uma sobrecarga de buffer, para injectar código nocivo. Nos ataques Blue Pill, por exemplo, é instalado um rootkit capaz de interceptar todas as chamadas e redireciona-las, sem que o sistema operativo o detecte.
“Com a técnica de blindagem do HyperSafe, podemos bloquear essas tentativas de assalto”, garante Jiang. Até ao momento, nenhum fornecedor de produtos comerciais de virtualização conseguiu disponibilizar uma solução eficaz contra os ataques Blue Pill, de acordo com este investigador.
O protótipo actual do HyperSafe trabalha com as tecnologias BitVisor e Xen, embora possa ser facilmente adoptado a outros hipervisores, como o VMware ESX e o Microsoft Hyper-V. No entanto, os hipervisores teriam que ser modificados para incluir o código de protecção agora desenvolvido.
Embora para já o professor Xuxian Jiang não tenha planos no sentido de comercializar a tecnologia, diz estar disposto a trabalhar com qualquer um dos grandes fornecedores de soluções de virtualização.




Deixe um comentário

O seu email não será publicado