Investigadores de la Universidad de Carolina del Norte han desarrollado HyperSafe, un software capaz de proteger los hipervisores de las amenazas basadas en el rootkit “Blue Pill”.
“HyperSafe permite al hipervisor protegerse a sí mismo de los intentos de inyección de código”, ha explicado Xuxian Jiang, profesor de ciencia informática de la Universidad que ha desarrollado el software junto con el estudiante Zhi Wang.
El nuevo software toma prestadas algunas de las ideas de protección de kernel de HookSafe –software de protección de kernel frente a rootkit desarrollado el año pasado también por Jiang– y las aplica al hipervisor.
Los típicos ataques contra hipervisores explotan alguna vulnerabilidad, como puede ser una sobrecarga de buffer, para inyectar código malicioso en él. En los ataques Blue Pill, por ejemplo, se instala un rootkit capaz de interceptar todas las llamadas y redirigirlas, sin que el sistema operativo lo detecte.
“Con la técnica de blindaje de HyperSafe, podemos bloquear esos intentos de asalto”, asegura Jiang. Hasta el momento, ningún suministrador de productos de virtualización comerciales ha ofrecido un remedio contra los ataques Blue Pill, de acuerdo con este investigador.
El prototipo actual de HyperSafe trabaja con las tecnologías BitVisor y Xen, aunque podría fácilmente ser llevado a otros hipervisores, como VMware ESX y Microsoft Hyper-V. No obstante, los hipervisores tendrían que ser modificados para incluir el código de protección.
Aunque por el momento Jiang no tiene planes de comercializar la tecnología, estaría dispuesto a trabajar con cualquiera de los grandes suministradores de virtualización, según el mismo ha asegurado.
