Falla di sicurezza nei processori Intel permette l'accesso all'SMM

Falla di sicurezza nei processori Intel permette l'accesso all'SMM

Un gruppo di ricerca specializzato nel settore della sicurezza informatica pubblica alcune informazioni in merito ad una vulnerabilità dei processori Intel

di pubblicata il , alle 16:37 nel canale Sicurezza
Intel
 

Un gruppo di ricercatori di Invisible Things Labs ha pubblicato alcune informazioni in merito ad una falla di sicurezza nei processori Intel. I ricercatori hanno realizzato un codice proof-of-concept dimostrando che è possibile utilizzare la cache della CPU per leggere o scrivere nella memoria SMRAM, uno spazio normalmente protetto.

La memoria SMRAM è quella porzione di memoria relativa al System Management Mode ed un rootkit in esecuzione in questo spazio sarebbe estremamente difficile da individuare. Il SMM ha infatti maggiori privilegi di un hypervisor e non è controllabile da alcun sistema operativo.

Il sistema operativo, proprio per vincoli di progettazione, non può scavalcare o disabilitare le chiamate SMI - System Management Interupt. In pratica, l'unico modo per sapere cosa sta girando nello spazio SMM è disassemblare fisicamente il firmware del computer. Dato che il SMI ha la precedenza su qualunque chiamata del sistema operativo, quest'ultimo non può controllare o leggere la SMM e il fatto che l'unico modo per leggere lo spazio SMM è disassemblare il firmware, fa sì che un eventuale rootkit presente in questo spazio risulti estremamente difficile da poter scovare.

Secondo quanto si legge sul blog di Invisible Things Labs, il problema sarebbe stato risolto su alcune delle recenti piattaforme Intel: il team ha infatti comunicato che l'exploit non funziona su schede madri DQ45. Per maggiori informazioni invitiamo a leggere l'intervento di Joanna Rutkowska di Invisible Things Labs.

40 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
JoJo20 Marzo 2009, 16:46 #1
Sembra solo a me o l'articolo è scritto coi piedi?
truncksz20 Marzo 2009, 16:50 #2
no, non sei l'unico. Mi sa che il sig. Bai non si sente molto bene oggi .
2012comin20 Marzo 2009, 16:58 #3
boh... io ho visto solo un errore di battitura in una sola parola...

manca una e in "disassmblare"

Se si dimenticava una "h" avreste chiesto la fustigazione in euro-visione?

si scherza eh
DKDIB20 Marzo 2009, 17:02 #4
Non sono informato sull'argomento (ergo non so se abbia scritto degli svarioni in merito al contenuto), pero' a livello sintattico mi pare piu' che comprensibile.

Avrei voluto un approfondimento maggiore sull'ultima parte, quella relativa alle piattaforme non coinvolte, ma e' probabile che nemmeno lui avesse ulteriori informazioni.
Al limite avrebbe potuto indicare quali CPU si possono montare sulle schede madri DQ45.
Wonder20 Marzo 2009, 17:04 #5
Beh, c'è anche un SSM al posto di SMM
LukeHack20 Marzo 2009, 17:05 #6
azz...
maggiori dettagli sui proci coinvolti?
Gcrazy20 Marzo 2009, 17:06 #7

Davvero solo Intel?

Perchè solitamente vengono diffuse informazioni riguardanti bug dei processori Intel, mentre di Amd in fatto di bug si sente poco parlare?
ChIP_8320 Marzo 2009, 17:10 #8
semmai è il contrario...
danello20 Marzo 2009, 17:21 #9
Originariamente inviato da: Gcrazy
Perchè solitamente vengono diffuse informazioni riguardanti bug dei processori Intel, mentre di Amd in fatto di bug si sente poco parlare?


2012comin20 Marzo 2009, 17:30 #10
Originariamente inviato da: pierunz


EH!?! Guarda che del bug TLB della cache L3 dei Phenom (prima versione) di AMD se ne è stra-parlato!!! Tanto che con la revision (non ricordo che step fosse) hanno anche aggiunto 5 decine ad ogni nome del processore (9500-->9550 ps: non so se esista questo processore, me lo sono inventato x l'esempio)!!!

Piuttosto, direi che è potenzialmente molto grave questo bug
Quindi da quel che ho capito non si possono neppure fare stime su quanti pc siano infetti perchè non si può vedere (che cosa significa "smontare" il firmware? smontare il pc?? ).
Ma che tipo di infezioni possono sfruttare questo bug?


giusto per completare la tua risposta:

mentre si parlava abbondantemente del bug che citi, questo bug di Intel veniva ignorato... Infatti da quel che si legge per rete, erano a conoscenza di questo bug Intel dal 2005

Edit: in un certo senso però la situazione era diversa... Il bug di AMD è stato, passatemi il termine, "pubblicizzato" molto anche grazie ai sostenitori stessi di AMD. Infatti quel bug lasciava intatte le speranze di crescita per l'architettura k10 e quindi, in un certo senso, era una notizia positiva. Spero di non essermi spiegato male :P

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^