Falla di sicurezza nei processori Intel permette l'accesso all'SMM

Redazione di Hardware Upg · 20-03-2009, 15:37

Link alla notizia: http://www.hwupgrade.it/news/sicurez...smm_28431.html

Un gruppo di ricerca specializzato nel settore della sicurezza informatica pubblica alcune informazioni in merito ad una vulnerabilità dei processori Intel

Click sul link per visualizzare la notizia.

JoJo · 20-03-2009, 15:46

Sembra solo a me o l'articolo è scritto coi piedi?

truncksz · 20-03-2009, 15:50

no, non sei l'unico. Mi sa che il sig. Bai non si sente molto bene oggi

.

2012comin · 20-03-2009, 15:58

boh... io ho visto solo un errore di battitura in una sola parola...

manca una e in "disassmblare"

Se si dimenticava una "h" avreste chiesto la fustigazione in euro-visione?

si scherza eh

DKDIB · 20-03-2009, 16:02

Non sono informato sull'argomento (ergo non so se abbia scritto degli svarioni in merito al contenuto), pero' a livello sintattico mi pare piu' che comprensibile.

Avrei voluto un approfondimento maggiore sull'ultima parte, quella relativa alle piattaforme non coinvolte, ma e' probabile che nemmeno lui avesse ulteriori informazioni.
Al limite avrebbe potuto indicare quali CPU si possono montare sulle schede madri DQ45.

Wonder · 20-03-2009, 16:04

Beh, c'è anche un SSM al posto di SMM

LukeHack · 20-03-2009, 16:05

azz...
maggiori dettagli sui proci coinvolti?

Gcrazy · 20-03-2009, 16:06

Perchè solitamente vengono diffuse informazioni riguardanti bug dei processori Intel, mentre di Amd in fatto di bug si sente poco parlare?

ChIP_83 · 20-03-2009, 16:10

semmai è il contrario...

danello · 20-03-2009, 16:21

Quote:

Originariamente inviato da Gcrazy

Perchè solitamente vengono diffuse informazioni riguardanti bug dei processori Intel, mentre di Amd in fatto di bug si sente poco parlare?

2012comin · 20-03-2009, 16:30

Quote:

Originariamente inviato da pierunz

EH!?! Guarda che del bug TLB della cache L3 dei Phenom (prima versione) di AMD se ne è stra-parlato!!! Tanto che con la revision (non ricordo che step fosse) hanno anche aggiunto 5 decine ad ogni nome del processore (9500-->9550 ps: non so se esista questo processore, me lo sono inventato x l'esempio)!!!

Piuttosto, direi che è potenzialmente molto grave questo bug
Quindi da quel che ho capito non si possono neppure fare stime su quanti pc siano infetti perchè non si può vedere (che cosa significa "smontare" il firmware? smontare il pc??

).
Ma che tipo di infezioni possono sfruttare questo bug?

giusto per completare la tua risposta:

mentre si parlava abbondantemente del bug che citi, questo bug di Intel veniva ignorato... Infatti da quel che si legge per rete, erano a conoscenza di questo bug Intel dal 2005

Edit: in un certo senso però la situazione era diversa... Il bug di AMD è stato, passatemi il termine, "pubblicizzato" molto anche grazie ai sostenitori stessi di AMD. Infatti quel bug lasciava intatte le speranze di crescita per l'architettura k10 e quindi, in un certo senso, era una notizia positiva. Spero di non essermi spiegato male :P

WarDuck · 20-03-2009, 16:49

Non ho letto ulteriori approfondimenti, ma in teoria se non è accessibile da sistema operativo allora non è accessibile neanche dai programmi...

Edit: ho letto meglio in merito al codice nella cache... mmm, dubbi appena ho tempo approfondisco.

Chukie · 20-03-2009, 17:06

Quote:

Originariamente inviato da WarDuck

Non ho letto ulteriori approfondimenti, ma in teoria se non è accessibile da sistema operativo allora non è accessibile neanche dai programmi...

Edit: ho letto meglio in merito al codice nella cache... mmm, dubbi appena ho tempo approfondisco.

Spiego meglio:

L'SMM è solo una modalità di funzionamento del processore, che è una modalità esclusivamente utilizzata per alcune funzioni iniziali del sistema e che permette un controllo completo su tutti i sottolivelli.

Viene comunemente definita come ring -2, addirittura più privilegiata dell'hypervisor che è definito come ring -1.

Il problema è: come si fa a far girare del codice arbitrario in modalità SMM? L'unica via è sovrascrivere l'SMRAM, che contiene la parte di codice che il processore esegue in modalità SMM.

Tuttavia l'SMRAM non è direttamente raggiungibile, né dal sistema operativo né dai programmi. Come si fa allora? Si sfrutta un bug nel sistema di caching della CPU per iniettare all'interno dell'SMRAM del codice arbitrario, per poi farlo eseguire aspettando che venga eseguita attraverso un SMI.

Detto in maniera molto molto banale e riassuntiva sono questi i passaggi logici

poaret · 20-03-2009, 17:30

detto in parole povere devo buttare il mio q6600?

Ghost Of Christmas Past · 20-03-2009, 17:40

Quote:

Originariamente inviato da poaret

detto in parole povere devo buttare il mio q6600?

no.

Chukie · 20-03-2009, 17:41

Quote:

Originariamente inviato da poaret

detto in parole povere devo buttare il mio q6600?

Detto in parole povere, questi attacchi non ti sfiorano minimamente.

Come ha detto la stessa Joanna Rutkowska:

Quote:

but, frankly, the bad guys are doing just fine using traditional kernel mode malware (due to the fact that A/V is not effective). Of course, SMM rootkits are just yet another annoyance for the traditional A/V programs, which is good, but they might not be the most important consequence of SMM attacks.
So, should the average Joe Dow care about our SMM attacks? Absolutely not!

e come una società di sicurezza aveva già detto mesi fa:

Quote:

The truth is that there's still a lot to work for malware writers on user's layer (no, not user mode layer, human's layer) and on the OS layer, I think they wouldn't move far from here.
All this basically to say: yes, Kris Kaspersky's presentation will be interesting and everyone - from both security industry and darkside - will listen to it carefully. But don't make the error to be worried about something that could potentially become a threat and don't realize instead that there are at the present other serious threats that are left free to do their dirty job.

http://www.prevx.com/blog/97/CPU-Bug...necessary.html

poaret · 20-03-2009, 18:05

per quel che mastico di inglese mi sembra di capire che è molto bassa la possibilità che venga scritto codice di tale raffinatezza e difficoltà che non vale la pena di preoccuparsi ?

Marco71 · 20-03-2009, 18:51

...adesso conosco un modo rapido e veloce (come soleva dire il mio prof. di Analisi I & II) per un piccolo training della "nuova forma di intelligenza artificiale" che sta nascendo (per chi segue il forum sa di cosa parlo) che ha un nome richiamante un noto abbonamento italiano satellitare.
Se per un essere umano è "difficile" scrivere codice di elevata qualità tale da utilizzare questa errata in silicio, per una "intelligenza" di molti ordini di grandezza più elevata non sarà così.
Immagino quanti sistemi presenti sul pianeta possano essere coinvolti.
Comunque per rassicurare i possessori di processori Intel tramite aggiornamento di microcodice (anche sotto forma di file .sys per sistemi operativi Microsoft laddove non fossero disponibili b.i.o.s dai produttori di schede madri) dovrebbe sicuramente essere possibile effettuare un "bypass" aggirando e prevenendo alla radice il problema.
Grazie.

Marco71.

Marco71 · 20-03-2009, 18:58

...e preoccupa una cosa...
Tutti i migliori virus writers,crackers, gli esperti di sicurezza informatica etc. sono od appartengono od all'est Europa, ex. U.R.S.S oppure all'estremo oriente...
La sig.rina in oggetto alla news per esempio è polacca.
Grazie.

Marco71.

lucusta · 20-03-2009, 19:28

saro' paranoico, ma mi balena l'idea che potrebbe essere una falla volontaria... (NSA docet)

20-03-2009, 16:06	#8
Gcrazy Junior Member Iscritto dal: Mar 2009 Messaggi: 5	Davvero solo Intel? Perchè solitamente vengono diffuse informazioni riguardanti bug dei processori Intel, mentre di Amd in fatto di bug si sente poco parlare?

20-03-2009, 16:49	#12
WarDuck Senior Member Iscritto dal: May 2001 Messaggi: 12840	Non ho letto ulteriori approfondimenti, ma in teoria se non è accessibile da sistema operativo allora non è accessibile neanche dai programmi... Edit: ho letto meglio in merito al codice nella cache... mmm, dubbi appena ho tempo approfondisco. Ultima modifica di WarDuck : 20-03-2009 alle 16:52.

20-03-2009, 18:51	#18
Marco71 Senior Member Iscritto dal: Nov 2003 Città: Provincia di Lucca Messaggi: 3455	Bene... ...adesso conosco un modo rapido e veloce (come soleva dire il mio prof. di Analisi I & II) per un piccolo training della "nuova forma di intelligenza artificiale" che sta nascendo (per chi segue il forum sa di cosa parlo) che ha un nome richiamante un noto abbonamento italiano satellitare. Se per un essere umano è "difficile" scrivere codice di elevata qualità tale da utilizzare questa errata in silicio, per una "intelligenza" di molti ordini di grandezza più elevata non sarà così. Immagino quanti sistemi presenti sul pianeta possano essere coinvolti. Comunque per rassicurare i possessori di processori Intel tramite aggiornamento di microcodice (anche sotto forma di file .sys per sistemi operativi Microsoft laddove non fossero disponibili b.i.o.s dai produttori di schede madri) dovrebbe sicuramente essere possibile effettuare un "bypass" aggirando e prevenendo alla radice il problema. Grazie. Marco71.

20-03-2009, 18:58	#19
Marco71 Senior Member Iscritto dal: Nov 2003 Città: Provincia di Lucca Messaggi: 3455	Poi mi sconcerta... ...e preoccupa una cosa... Tutti i migliori virus writers,crackers, gli esperti di sicurezza informatica etc. sono od appartengono od all'est Europa, ex. U.R.S.S oppure all'estremo oriente... La sig.rina in oggetto alla news per esempio è polacca. Grazie. Marco71.

20-03-2009, 15:37	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75173	Link alla notizia: http://www.hwupgrade.it/news/sicurez...smm_28431.html Un gruppo di ricerca specializzato nel settore della sicurezza informatica pubblica alcune informazioni in merito ad una vulnerabilità dei processori Intel Click sul link per visualizzare la notizia.

20-03-2009, 15:46	#2
JoJo Senior Member Iscritto dal: Dec 2000 Messaggi: 2943	Sembra solo a me o l'articolo è scritto coi piedi?

20-03-2009, 15:50	#3
truncksz Senior Member Iscritto dal: Jan 2004 Città: Cosenza Messaggi: 492	no, non sei l'unico. Mi sa che il sig. Bai non si sente molto bene oggi .

20-03-2009, 15:58	#4
2012comin Senior Member Iscritto dal: Dec 2008 Messaggi: 422	boh... io ho visto solo un errore di battitura in una sola parola... manca una e in "disassmblare" Se si dimenticava una "h" avreste chiesto la fustigazione in euro-visione? si scherza eh

20-03-2009, 16:02	#5
DKDIB Senior Member Iscritto dal: Feb 2004 Città: EU (Italy) Messaggi: 755	Non sono informato sull'argomento (ergo non so se abbia scritto degli svarioni in merito al contenuto), pero' a livello sintattico mi pare piu' che comprensibile. Avrei voluto un approfondimento maggiore sull'ultima parte, quella relativa alle piattaforme non coinvolte, ma e' probabile che nemmeno lui avesse ulteriori informazioni. Al limite avrebbe potuto indicare quali CPU si possono montare sulle schede madri DQ45.

20-03-2009, 16:04	#6
Wonder Senior Member Iscritto dal: Sep 2002 Messaggi: 2555	Beh, c'è anche un SSM al posto di SMM

20-03-2009, 16:05	#7
LukeHack Bannato Iscritto dal: May 2003 Città: Roma Messaggi: 3642	azz... maggiori dettagli sui proci coinvolti?

20-03-2009, 16:10	#9
ChIP_83 Senior Member Iscritto dal: Jun 2002 Messaggi: 1062	semmai è il contrario...

20-03-2009, 17:30	#14
poaret Senior Member Iscritto dal: Jan 2005 Messaggi: 408	detto in parole povere devo buttare il mio q6600?

20-03-2009, 18:05	#17
poaret Senior Member Iscritto dal: Jan 2005 Messaggi: 408	per quel che mastico di inglese mi sembra di capire che è molto bassa la possibilità che venga scritto codice di tale raffinatezza e difficoltà che non vale la pena di preoccuparsi ?

20-03-2009, 19:28	#20
lucusta Bannato Iscritto dal: May 2001 Messaggi: 6246	saro' paranoico, ma mi balena l'idea che potrebbe essere una falla volontaria... (NSA docet)

Strumenti
Mostra una versione stampabile Invia questa pagina per email