PDA

Visualizza versione completa : CPU Intel vulnerabili dai rootkit


Doomboy
20-03-2009, 10.05.41
http://blogs.zdnet.com/security/images/intel_core_extreme.jpg



Oggi parliamo di una falla di sicurezza sulle CPU Intel, della quale i ricercatori di sicurezza sarebbero informati addirittura dal 2005! Si tratta di una vulnerabilità sfruttabile per usare la cache della CPU al fine di di leggere e scrivere la memoria SMRAM, ovvero quella particolare memoria che esegue operazioni di sistema così elevate che non è soggetta a controlli da parte del sistema operativo. Secondo alcuni ricercatori quindi, se si realizzasse un rootkit ingrado sfruttare questo exploit, il medesimo diventerebbe quasi impossibile da rilevare con strumenti software e l'unico modo per capire con certezza cosa sta avvenendo nell'area di memoria SMM sarebbe "disassemblare" fisicamente il PC.

Intel, definitasi al corrente del problema, starebbe "già" lavorando ad una soluzione...ma a detta di chi l'ha resa pubblica, se non si fosse alzato un certo polverone, le acque non si sarebbero smosse ancora per chissà quanto tempo.

Aquax
20-03-2009, 11.36.17
E dal 2005 a oggi nessuno è stato in grado di creare un rootkit che sfrutta questa vulnerabilità??? :mm: :mm:

RNicoletto
20-03-2009, 11.45.48
:eek: ATTENZIONE!! :eek:

Da quanto emerso finora questa sembrerebbe "teoricamente" la madre di tutti gli exploit!! :S

Questo tipo di exploit, non nuovo (http://www.linuxworld.com.au/article/215376/black_hat_-_hackers_find_new_place_hide_rootkits?rid=-50) per altro, è praticamente impossibile da individuare per il Sistema Operativo (qualunque esso sia) e l'eventuale rootkit in grado di sfruttarlo non sarebbe rimuovibile con nessun software anti-virus/anti-rootkit/anti-malware. L'unico modo per ripulire il sistema sarebbe quello di fare un re-flash del BIOS (ma non sono sicuro sia l'unico modo :mm: (http://www.msuiche.net/2008/08/06/smm-rootkit-limitations-and-how-to-defeat-it/)).

Però... Ho scritto "teoricamente" perché ci sono una serie di aspetti da considerare: non tutte le CPU/schede madri che montano Intel sono vulnerabili (quali?? non lo so :p...);
non è chiaro se sia necessario avere privilegi di root/administrator per eseguire l'exploit;
difficilmente questo exploit verrà utilizzato per diffondere malware sui PC degli utenti comuni. :oSpiegazione per il punto 3: i cracker sono pigri! :devil:
Perché dovrebbero sbattersi per creare malware così complessi quando esistono già molti modi, più semplice e collaudati, per infettare i PC degli utenti comuni?? (vedere ad es. il recente PWN2OWN 2009 (http://punto-informatico.it/2580523/PI/News/pwn2own-mattanza-dei-browser.aspx)).

Quindi, al di la dell'aspetto tecnologico/scientifico, noi utonti possiamo stare relativamente tranquilli: non saremo vittima di nessun Trusted Execution Technology Rootkit. Lo stesso non si può dire però per militari ed agenzie governative (ma io non ne so niente :inn: (http://spectrum.ieee.org/may08/6171/)).

Doomboy
20-03-2009, 11.55.07
Io poi dormo tra due guanciali... i miei PC personali hanno solo CPU AMD da diversi anni :D

RunDLL
20-03-2009, 13.50.21
E per quanto riguarda i milioni di processori che già sono in giro?

SMH17
20-03-2009, 14.05.59
Un virus del genere dovrebbe come minimo installare anche un driver per avere accesso a quell'area di memoria e salvare di volta in volta le informazioni quindi questo mi pare l'ennesimo allarmismo ingiustificato basterebbe mappare la struttura del driver in questione e verrebbe rilevato come tutti gli altri virus.

RNicoletto
20-03-2009, 16.08.16
Un virus del genere dovrebbe come minimo installare anche un driver per avere accesso a quell'area di memoria e salvare di volta in volta le informazioni quindi questo mi pare l'ennesimo allarmismo ingiustificato basterebbe mappare la struttura del driver in questione e verrebbe rilevato come tutti gli altri virus.Non installa niente (infatti è completamente indipendente dal Sistema Operativo). L'exploit fa due cose: inietta del codice direttamente nell'handler del System Management Mode del chipset Intel;
modifica uno dei programmi gestiti dall'handler SMM infetto.Tutti i dettagli, ad eccezione ovviamente del codice di exploit, li potete trovare qui (http://invisiblethingslab.com/itl/Resources.html). ;)

SMH17
20-03-2009, 16.18.31
Non installa niente (infatti è completamente indipendente dal Sistema Operativo). L'exploit fa due cose: inietta del codice direttamente nell'handler del System Management Mode del chipset Intel;
modifica uno dei programmi gestiti dall'handler SMM infetto.Tutti i dettagli, ad eccezione ovviamente del codice di exploit, li potete trovare qui (http://invisiblethingslab.com/itl/Resources.html). ;)

La strategia è indipendente dal tipo di sistema operativo utilizzato ma per fare ciò che viene descritto qui

Below we describe how to exploit cache poisoning
to get access to the SMRAM memory. We assume
that the attacker has access to certain platform
MSR registers. In practice this is equivalent to the
attacker having administrator privileges on the
target system, and on some systems, like e.g.
Windows, also the ability to load and execute
arbitrary kernel code3.
1. The attacker should first modify system MTRR4
register(s) in order to mark the region of system
memory where the SMRAM is located as
cacheable with type Write-Back (WB).

ho bisogno necessariamente di un driver altrimenti non ho modo di manipolare i registri MSR per effettuare l'attacco. ;)

RNicoletto
20-03-2009, 18.43.20
UHMMM... Forse hai ragione ma il discorso della mappatura driver è comunque complesso poiché: esistono metodi per nascondere/camuffare driver già sufficientemente potenti da risultare invisibili alla maggior parte dei tool di sicurezza (tipo Rustock.C (http://www.rootkit.com/newsread.php?newsid=879));
una volta installatosi l'eventuali rootikit potrebbe rimuovere il proprio driver rendendo di fatto impossibile capire a posteriori se il PC è stato colpito o meno.Non so se l'allarmismo si giustificato o meno, ma come ho scritto sopra dubito fortemente useranno questo tipo di exploit per infettare gli utenti comuni.

SMH17
20-03-2009, 19.44.43
UHMMM... Forse hai ragione ma il discorso della mappatura driver è comunque complesso poiché: esistono metodi per nascondere/camuffare driver già sufficientemente potenti da risultare invisibili alla maggior parte dei tool di sicurezza (tipo Rustock.C (http://www.rootkit.com/newsread.php?newsid=879));
una volta installatosi l'eventuali rootikit potrebbe rimuovere il proprio driver rendendo di fatto impossibile capire a posteriori se il PC è stato colpito o meno.Non so se l'allarmismo si giustificato o meno, ma come ho scritto sopra dubito fortemente useranno questo tipo di exploit per infettare gli utenti comuni.

le strategie di camuffamento vengono utilizzate come hai evidenziato tu da parecchio tempo, Vundo ad esempio esiste da un bel pò di anni e se non viene tracciata la nuova variante di turno nelle definizioni dell'antivirus o dell'antimalware non viene riconosciuto stessa cosa vale per Limbo e chissà quanti altri malware, l'unico vantaggio che avrebbe un malware basato su questo tipo di vulnerabilità sarebbe il fatto che faciliterebbe parecchio la creazione di minacce multipiattaforma dal momento che l'unica parte ad essere riadattata sarebbe il driver base, per il resto è la stessa identica cosa.
Comunque attualmente in tutti i miei pc sono presenti architetture AMD :o