22.03.2009, 11:52
Joanna Rutkowska i Loic Duflot w tym samym czasie opublikowali szczegółowe informacje o luce w mechanizmach obsługi pamięci podręcznej procesorów Intela. Pozwala ona na przemycenie kodu do System Management Mode i umieszczenie tam niewidocznego na pierwszy rzut oka rootkita.
Problem
Jak wyjaśniają Embleton, Sparks i Zou w interesującym dokumencie poświęconym rootkitom SMM, "System Management Mode (SMM) to naprawdę mało przejrzysty tryb działania kontroli urządzeń niskiego poziomu na procesorach Intela". Jest on wyposażony we własny obszar pamięci, tak zwany SMRAM oraz środowisko wykonywalne, które jest niewidoczne dla dkodu uruchomionego poza SMM. Jednak za pomocą "zatrucia pamięci cache" Rutkowskiej udało się przemycić tam własny kod, który następnie dał się uruchomić z najwyższymi uprawnieniami, pozostając przy tym niewidocznym dla systemu operacyjnego i aplikacji.
Specjalistka od rootkitów zaprezentowała niegroźny exploit typu Proof of Concept, który może działać między innymi na płycie Intela DQ35. To, jak mógłby wyglądać prawdziwy rootkit SMM, przedstawiają właśnie Embleton, Sparks i Zou. O prezentacji Duflota podczas konferencji CanSecWest nie wiadomo nic poza tytułem, który brzmi "Getting into the SMRAM: SMM Reloaded".
Zagrożenie
Pomimo poważnych konsekwencji działania takiego rootkita SMM nie ma większych powodów do paniki. Do tej pory znane są jedynie pomysły i nieliczne analizy koncepcyjne, które nie wykraczają poza środowisko laboratoryjne. W rzeczywistych warunkach nie zaobserwowano jeszcze tego rodzaju szkodliwego oprogramowania.
Źródło: Heise Online
Problem
Jak wyjaśniają Embleton, Sparks i Zou w interesującym dokumencie poświęconym rootkitom SMM, "System Management Mode (SMM) to naprawdę mało przejrzysty tryb działania kontroli urządzeń niskiego poziomu na procesorach Intela". Jest on wyposażony we własny obszar pamięci, tak zwany SMRAM oraz środowisko wykonywalne, które jest niewidoczne dla dkodu uruchomionego poza SMM. Jednak za pomocą "zatrucia pamięci cache" Rutkowskiej udało się przemycić tam własny kod, który następnie dał się uruchomić z najwyższymi uprawnieniami, pozostając przy tym niewidocznym dla systemu operacyjnego i aplikacji.
Specjalistka od rootkitów zaprezentowała niegroźny exploit typu Proof of Concept, który może działać między innymi na płycie Intela DQ35. To, jak mógłby wyglądać prawdziwy rootkit SMM, przedstawiają właśnie Embleton, Sparks i Zou. O prezentacji Duflota podczas konferencji CanSecWest nie wiadomo nic poza tytułem, który brzmi "Getting into the SMRAM: SMM Reloaded".
Zagrożenie
Pomimo poważnych konsekwencji działania takiego rootkita SMM nie ma większych powodów do paniki. Do tej pory znane są jedynie pomysły i nieliczne analizy koncepcyjne, które nie wykraczają poza środowisko laboratoryjne. W rzeczywistych warunkach nie zaobserwowano jeszcze tego rodzaju szkodliwego oprogramowania.
Źródło: Heise Online