Architetture x86: una falla vecchia di 20 anni espone al rischio rootkit

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...kit_58347.html

Una caratteristica inserita nel 1997 nelle architetture x86 ha aperto una vulnerabilità che può consentire, in talune circostanze, di installare rootkit a basso livello per compromettere un sistema in maniera persistente ed invisibile

Click sul link per visualizzare la notizia.

[Madcrix]

"Per poter sfruttare la falla e installare il rootkit l'attaccante dovrebbe già avere privilegi di kernel"


vabbè, un non-problema

[pabloski]

Quote:

Originariamente inviato da Madcrix

"Per poter sfruttare la falla e installare il rootkit l'attaccante dovrebbe già avere privilegi di kernel"


vabbè, un non-problema

per la precisione l'articolo originale dice "need to have kernel or system privileges on a computer"

non è raro trovare in circolazione malware che girano con quel livello di privilegio

il problema imho è che si sta mettendo troppa roba "lato hardware", creando una superficie d'attacco notevole, in zone la cui esistenza è sconosciuta all'utente medio e dove gli antivirus non possono mettere mano

e onestamente non comprendo il perchè si stia procedendo in questa direzione

[sbaffo]

Quote:

Originariamente inviato da Madcrix

"Per poter sfruttare la falla e installare il rootkit l'attaccante dovrebbe già avere privilegi di kernel"


vabbè, un non-problema

mica tanto, vuol dire che una vola infettato devi buttare la cpu perchè si è installato nel firmware. Sempre che te ne accorga, perchè a quel punto non è più rilevabile.
Mi puzza tanto di nsa...

[Marci]

Quote:

Originariamente inviato da pabloski

per la precisione l'articolo originale dice "need to have kernel or system privileges on a computer"

non è raro trovare in circolazione malware che girano con quel livello di privilegio

il problema imho è che si sta mettendo troppa roba "lato hardware", creando una superficie d'attacco notevole, in zone la cui esistenza è sconosciuta all'utente medio e dove gli antivirus non possono mettere mano

e onestamente non comprendo il perchè si stia procedendo in questa direzione

Quote:

Originariamente inviato da sbaffo

mica tanto, vuol dire che una vola infettato devi buttare la cpu perchè si è installato nel firmware. Sempre che te ne accorga, perchè a quel punto non è più rilevabile.
Mi puzza tanto di nsa...

Appunto, secondo me in questo modo rendono la vita più facile a chi vuole "controllare"

[andbad]

Il problema è che quella versione sia writable. Capisco la possibilità di aggiornare il firwmare di una CPU (ma quando mai, poi?), ma IMHO sarebbe stato meglio fosse stata read-only.
Poi vabbé, non ho approfondito, quindi potrei aver detto una cazzata

By(t)e

[songohan]

Come diceva coso, come si chiama... sbaffo, mi sa tanto che sia una falla governativa. Magari non e' una falla di design, puo' essere davvero non voluta, ma credo che alla NSA e non solo lo sapessere quasi fin dalle origini.
E va a sapere cosa abbiamo al giorno d'oggi nei nostri dispositivi.

[djfix13]

il no sense resta sull'impossibilità di avere una lista di cpu fallate o meno ed i tempi in cui Intel e AMD vogliono metterci la patch.

da ricordare però anche che
"Even if BIOS/UEFI updates are made available by computer manufacturers, their rate of adoption is likely to be very low, especially among consumers."

[insane74]

qui http://www.engadget.com/2015/08/08/i...sinkhole-flaw/ si parla delle CPU prodotte tra il 1997 e il 2010.

[pabloski]

Quote:

Originariamente inviato da insane74

qui http://www.engadget.com/2015/08/08/i...sinkhole-flaw/ si parla delle CPU prodotte tra il 1997 e il 2010.

appunto

diranno che "non è facile trovare ed usare vulnerabilità in quel codice", ma poi quando se ne trova una è una strage

e ovviamente quel tipo di memorie non può essere a sola lettura, proprio perchè può essere necessario dover aggiornare il codice

come accade col software "normale" insomma, con la differenza che questo software qui è opaco, sconosciuto ai più, ficcato in posti difficilmente accessibili, ecc...

ma loro arriveranno e ci diranno "ecco perchè vogliamo criptare tutto e ficcarvi il tpm ovunque", solo che la storia dimostra che le chiavi usate per questi scopi hanno la tendenza a farsi rubare

mah, sarò complottista, però a me sembra che gli unici a guadagnarci da tutta questa charade siano gli spioni

[bobafetthotmail]

Toh, mettere dei firmware merdacchiosi nell'hardware causa falle di sicurezza...

Quote:

Il problema è che quella versione sia writable. Capisco la possibilità di aggiornare il firwmare di una CPU (ma quando mai, poi?), ma IMHO sarebbe stato meglio fosse stata read-only.

Conosci i microcode? Le CPU aggiornano il firware (che di per sè sarebbe read-only, e al riavvio l'aggiornamento non resta) ogni volta che avvi un sistema operativo decente che glie li aggiorna con un driver.

Quote:

Originariamente inviato da pabloski

mah, sarò complottista, però a me sembra che gli unici a guadagnarci da tutta questa charade siano gli spioni

Anche chi vende i processori...

Le falle di sicurezza di un sistema servono ad invogliare a comprare quello successivo, che non ha quelle falle. (ma amgari ne ha altre)

[Marco71]

...la possibilità di "variazione" delle routine del microcodice per le cpu Intel x86 fu introdotta all'indomani del famosissimo bug nell'algoritmo SRT delle fpu dei processori Pentium...
Con il possente Pentium PRO...la cui fpu fu verificata in modo "molto esaustivo".
Se non mi ricordo male comunque il S.M.M fu introdotto con l'80386SL che era destinato ai computer portatili.

Quote:

https://en.wikipedia.org/wiki/System_Management_Mode

Quote:

https://en.wikipedia.org/wiki/System_Management_Mode#/media/File:NSA_SOUFFLETROUGH.jpg

E' ovvio che "gente" come NSA ed anche ciò di cui non si conosce nemmeno l'esistenza sappiano con eoni di anticipo di questi problemi.
Molti dei quali potrebbero essere anche desunti dagli errata pubblicati dai produttori di cpu.

Marco71.

[Marco71]

...nemmeno "cosa nuova"...
Notare la data di pubblicazione...

Quote:

http://www.ssi.gouv.fr/archive/fr/sciences/fichiers/lti/cansecwest2006-duflot.pdf

Marco71.

[TheQ.]

20 anni fa non c'era l'UEFI, quindi è forse una falla presente in codice di 20 anni fa che agisce sull'UEFI che ha sostituito il BIOS solo negli ultimi anni.
Sbaglio?

[Pier2204]

Non ho capito se questa falla è stata scoperta dopo 20 anni, oppure ne erano a conoscenza e nessuno ha detto niente.

In entrambi i casi la cosa è preoccupante..

[LMCH]

Quote:

Originariamente inviato da Pier2204

Non ho capito se questa falla è stata scoperta dopo 20 anni, oppure ne erano a conoscenza e nessuno ha detto niente.

In entrambi i casi la cosa è preoccupante..

Non è una cosa nuova, il SMM è di per se stesso un rootkit "a fin di bene"
pensato per ridurre i costi dell'hardware (delegando a livello software roba che in precedenza veniva per forza gestita in hardware), per chi fa roba ad alte prestazioni è anche una gran rottura di co****ni perche riesce anche ad interrompere software in teoria hard realtime e sputtanare le latenze (specialmente se il software SMM è scritto con il cuo ).

In pratica il tipo ha trovato un modo più semplice per accedere al firmware e sovrascrivere il software SMM oppure ridirezionare il vettore dell'SMI (System Management Interrupt).

[bobafetthotmail]

Quote:

Originariamente inviato da TheQ.

20 anni fa non c'era l'UEFI, quindi è forse una falla presente in codice di 20 anni fa che agisce sull'UEFI che ha sostituito il BIOS solo negli ultimi anni.
Sbaglio?

Sbagli.

Questa falla è nel firmware del processore, il cosiddetto "microcode".

Dà accesso completo al sistema con livello di priorità più elevato, più di root e kernel, visto che è il firmware del processore, della macchina che fa girare tutta la baracca.

Poi dicono che puoi usarlo per cancellare l firmware UEFI e fare altra roba varia, ma BIOS o UEFI cambia niente, non sono quelli che hanno la falla.

Ed è anche la ragione per cui i Secure Boot è inutile contro questo attacco (come se in generale fosse utile a fare altro che non sia rompere le balle a chi non usa Windows 8 o successivi...).

Quote:

Non è una cosa nuova, il SMM è di per se stesso un rootkit "a fin di bene"

per "bene" si intende comunque dal punto di vista dei costruttori...

Quote:

Originariamente inviato da Pier2204

Non ho capito se questa falla è stata scoperta dopo 20 anni, oppure ne erano a conoscenza e nessuno ha detto niente.

Dall'articolo: Secondo quanto riferisce il ricercatore, Intel sarebbe a conoscenza del problema e nelle più recenti CPU avrebbe trovato il modo di porvi rimedio.

Ora, se le CPU dal 2010 in poi non hanno questa vulnerabilità i casi sono due:
-Intel ha cambiato qualcosa e per una botta di culo ha chiuso la falla senza neanche sapere che c'era
-Intel sa della falla da ALMENO 4-5 anni.

[Pier2204]

Quote:

Originariamente inviato da LMCH

Non è una cosa nuova, il SMM è di per se stesso un rootkit "a fin di bene"
pensato per ridurre i costi dell'hardware (delegando a livello software roba che in precedenza veniva per forza gestita in hardware), per chi fa roba ad alte prestazioni è anche una gran rottura di co****ni perche riesce anche ad interrompere software in teoria hard realtime e sputtanare le latenze (specialmente se il software SMM è scritto con il cuo ).

In pratica il tipo ha trovato un modo più semplice per accedere al firmware e sovrascrivere il software SMM oppure ridirezionare il vettore dell'SMI (System Management Interrupt).

Quote:

Originariamente inviato da bobafetthotmail

Sbagli.

Questa falla è nel firmware del processore, il cosiddetto "microcode".

Dà accesso completo al sistema con livello di priorità più elevato, più di root e kernel, visto che è il firmware del processore, della macchina che fa girare tutta la baracca.

Poi dicono che puoi usarlo per cancellare l firmware UEFI e fare altra roba varia, ma BIOS o UEFI cambia niente, non sono quelli che hanno la falla.

Ed è anche la ragione per cui i Secure Boot è inutile contro questo attacco (come se in generale fosse utile a fare altro che non sia rompere le balle a chi non usa Windows 8 o successivi...).

per "bene" si intende comunque dal punto di vista dei costruttori...


Dall'articolo: Secondo quanto riferisce il ricercatore, Intel sarebbe a conoscenza del problema e nelle più recenti CPU avrebbe trovato il modo di porvi rimedio.

Ora, se le CPU dal 2010 in poi non hanno questa vulnerabilità i casi sono due:
-Intel ha cambiato qualcosa e per una botta di culo ha chiuso la falla senza neanche sapere che c'era
-Intel sa della falla da ALMENO 4-5 anni.

questo punto mi chiedo se è possibile fixare la falla con un aggiornamento firmware rilasciato da Intel.
Ma mi sembra di capire che non sia possibile a meno di non sostituire il processore con uno recente...

[bobafetthotmail]

Quote:

Originariamente inviato da Pier2204

questo punto mi chiedo se è possibile fixare la falla con un aggiornamento firmware rilasciato da Intel.
Ma mi sembra di capire che non sia possibile a meno di non sostituire il processore con uno recente...

Come detto prima, il microcode integrato nel processore è una ROM.

Da sempre i sistemi operativi caricano dei microcode più aggiornati con un driver all'avvio, ma al riavvio devono caricarli di nuovo, il microcode della CPU è una ROM non puoi cambiarla, solo sostituirlo con uno più aggiornato mentre avvii la macchina.

Quindi sì. Se è fatto prima del 2010, cambiare processore (e probabilmente PC) ragazzi.

[lucusta]

ni, Pier; se cambi il microcode di una CPU aggiornare anche il bios della scheda madre, che deve riconoscere la CPU; se la scheda madre adatta allle più recenti cpu fallate ha già 10 anni 6 anni, credo che solo sistemi embedded, custom, di nicchia o industriali ne beneficieranno, in quanto non c'e' produttore reital che ti aggiornerebbe un bios di 6 anni fa' od oltre.

bios di schede usate nei sistemi embedded tipo gli ATM?
ti fanno aggiornare il sistema, che tanto non e' l'unica falla che hanno!