Forskare erbjuder verktyg för att dölja skadlig kod i. Net

En datorsäkerhetsforskare har släppt ett uppgraderat verktyg som kan förenkla placeringen av svår att upptäcka skadlig programvara i Microsofts.Net-ramverk på Windows-datorer.

Verktyget, kallat.Net-Sploit 1.0, tillåter för modifiering av.Net, ett program installerat på de flesta Windows-maskiner som tillåter datorerna att utföra vissa typer av applikationer.

Microsoft gör en serie utvecklarverktyg för programmerare att skriva applikationer som är kompatibla med ramverket. Det ger utvecklare fördel att skriva program på flera olika högnivå språk som alla kommer att köras på en dator.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

.Net-Sploit tillåter en hackare att modifiera. Net-ramverket för riktade maskiner, sätta in skadlig programvara i rootkit-format på en plats som är orörd av säkerhetsprogramvaran och där få säkerhetspersonal skulle tycka att de ser ut, sade Erez Metula, programvarans säkerhetsingenjör för 2BSecure som skrev verktyget.

"Du kommer bli förvånad över hur lätt det är att utforma en attack", sade Metula under en presentation på Black Hats säkerhetskonferens i Amsterdam på fredag.

.Net-Sploit låter i huvudsak en angripare ersätta ett legitimt kodnummer inom. Net med en skadlig. Eftersom vissa applikationer beror på delar av.Net-ramverket för att kunna köras, betyder det att skadlig programvara kan påverka funktionen hos många applikationer.

Till exempel kan ett program som har en autentiseringsmekanism attackeras om det manipulerade. Net-ramverket skulle avlyssna användarnamn och lösenord och skicka dem till en fjärrserver, sade Metula.

.Net-Sploit automatiserar några av de krävande kodningsuppgifterna som är nödvändiga för att korrumpera ramverket och påskynda utvecklingen av en attack. Det kan till exempel hjälpa till att dra en relevant DLL (dynamisk länkbibliotek) från ramen och distribuera den skadliga DLL.

Metula sa att en angripare redan skulle behöva ha kontroll över en maskin innan hans verktyg kunde användas. Fördelen med att förstöra.Net-ramverket är att en angripare länge kan behålla kontrollen över maskinen länge.

Det kan potentiellt missbrukas av rogue systemadministratörer, som kan missbruka sina behörigheter för att distribuera så kallade "bakdörrar" "eller skadlig kod än att möjliggöra fjärråtkomst, sade Metula.

Microsoft Security Response Center fick meddelande om problemet i september 2008. Företagets ståndpunkt är att eftersom en angripare redan måste ha kontroll över en dator finns det ingen sårbarhet i.Net. Det verkar inte som om Microsoft har några planer på att utfärda en lösning på kort sikt.

Minst en Microsoft-tjänsteman pratade med Metula efter presentationen och försvarade företagets position. Metula sa att han inte heller anser att problemet är en sårbarhet, utan snarare en svaghet, om än en som Microsoft kan vidta åtgärder för att göra en sådan attack svårare.

"Ingen kollisionsbeständig lösning kommer att fixa det," sade Metula. Säkerhetsleverantörer bör också uppgradera deras programvara för att upptäcka manipulering med.Net-ramverket, Metula sa … Net är inte det enda tillämpningsramverket som är sårbart för attacken, eftersom variationer också kan tillämpas på andra användningsramar, t.ex. Java Virtual Machine (JVM) används för att köra program skrivna i Java.

Metula har publicerat en vitbok om tekniken och den senaste versionen av.Net-Sploit.