Architetture x86: una falla vecchia di 20 anni espone al rischio rootkit

Architetture x86: una falla vecchia di 20 anni espone al rischio rootkit

Una caratteristica inserita nel 1997 nelle architetture x86 ha aperto una vulnerabilità che può consentire, in talune circostanze, di installare rootkit a basso livello per compromettere un sistema in maniera persistente ed invisibile

di Andrea Bai pubblicata il , alle 11:11 nel canale Sicurezza
 

Una falla progettuale nell'architettura dei processori x86 che risale almeno a vent'anni fa, potrebbe consentire ad un attaccante di installare un rootkit nel firmware a basso livello di un computer che risulterebbe trasparente alle soluzioni di sicurezza. E' la scoperta effettuata nei giorni scorsi da Christopher Domas, un ricercatore di sicurezza del Battelle Memorial Institute che ha partecipato alla conferenza Black Hat.

La vulnerabilità nasce da una caratteristica inserita nell'architettura x86 nel 1997. Sfruttando questa vulnerabilità è possibile installare un rootkit nel System Management Mode del processore, una porzione protetta di codice che sta alla base tutte le caratteristiche di sicurezza firmware nei moderni computer.

Una volta installato il rootkit potrebbe essere usato per attacchi anche piuttosto gravi, come ad esempio la cancellazione dell'UEFI o la reinstallazione di malware anche a seguito di una installazione del sistema operativo. Le misure di protezione come Secure Boot non sarebbero di alcun aiuto perché anch'esse si basano sull'SMM. In altri termini un attacco di questo tipo va a infrangere le fondamenta della sicurezza hardware.

Per poter sfruttare la falla e installare il rootkit l'attaccante dovrebbe già avere privilegi di kernel o sistema su un computer. Ciò significa che la falla non può essere usata per compromettere un sistema, ma potrebbe rappresentare un metodo per aggravare una compromissione già esistente e renderla persistente e invisibile.

Domas ha effettuato i propri test sui processori Intel ma ha osservato che anche i processori x86 realizzati da AMD potrebbero essere interessati dal problema. Secondo quanto riferisce il ricercatore, Intel sarebbe a conoscenza del problema e nelle più recenti CPU avrebbe trovato il modo di porvi rimedio. L'azienda californiana sta inoltre preparando una serie di aggiornamenti firmware anche per i processori meno recenti, anche se non a tutti potrà essere applicata una patch.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

68 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Madcrix10 Agosto 2015, 11:31 #1
"Per poter sfruttare la falla e installare il rootkit l'attaccante dovrebbe già avere privilegi di kernel"


vabbè, un non-problema
pabloski10 Agosto 2015, 12:25 #2
Originariamente inviato da: Madcrix
"Per poter sfruttare la falla e installare il rootkit l'attaccante dovrebbe già avere privilegi di kernel"


vabbè, un non-problema


per la precisione l'articolo originale dice "need to have kernel or system privileges on a computer"

non è raro trovare in circolazione malware che girano con quel livello di privilegio

il problema imho è che si sta mettendo troppa roba "lato hardware", creando una superficie d'attacco notevole, in zone la cui esistenza è sconosciuta all'utente medio e dove gli antivirus non possono mettere mano

e onestamente non comprendo il perchè si stia procedendo in questa direzione
sbaffo10 Agosto 2015, 12:31 #3
Originariamente inviato da: Madcrix
"Per poter sfruttare la falla e installare il rootkit l'attaccante dovrebbe già avere privilegi di kernel"


vabbè, un non-problema

mica tanto, vuol dire che una vola infettato devi buttare la cpu perchè si è installato nel firmware. Sempre che te ne accorga, perchè a quel punto non è più rilevabile.
Mi puzza tanto di nsa...
Marci10 Agosto 2015, 12:35 #4
Originariamente inviato da: pabloski
per la precisione l'articolo originale dice "need to have kernel or system privileges on a computer"

non è raro trovare in circolazione malware che girano con quel livello di privilegio

il problema imho è che si sta mettendo troppa roba "lato hardware", creando una superficie d'attacco notevole, in zone la cui esistenza è sconosciuta all'utente medio e dove gli antivirus non possono mettere mano

e onestamente non comprendo il perchè si stia procedendo in questa direzione


Originariamente inviato da: sbaffo
mica tanto, vuol dire che una vola infettato devi buttare la cpu perchè si è installato nel firmware. Sempre che te ne accorga, perchè a quel punto non è più rilevabile.
Mi puzza tanto di nsa...

Appunto, secondo me in questo modo rendono la vita più facile a chi vuole "controllare"
andbad10 Agosto 2015, 12:48 #5
Il problema è che quella versione sia writable. Capisco la possibilità di aggiornare il firwmare di una CPU (ma quando mai, poi?), ma IMHO sarebbe stato meglio fosse stata read-only.
Poi vabbé, non ho approfondito, quindi potrei aver detto una cazzata

By(t)e
songohan10 Agosto 2015, 13:11 #6
Come diceva coso, come si chiama... sbaffo, mi sa tanto che sia una falla governativa. Magari non e' una falla di design, puo' essere davvero non voluta, ma credo che alla NSA e non solo lo sapessere quasi fin dalle origini.
E va a sapere cosa abbiamo al giorno d'oggi nei nostri dispositivi.
djfix1310 Agosto 2015, 14:00 #7
il no sense resta sull'impossibilità di avere una lista di cpu fallate o meno ed i tempi in cui Intel e AMD vogliono metterci la patch.

da ricordare però anche che
"Even if BIOS/UEFI updates are made available by computer manufacturers, their rate of adoption is likely to be very low, especially among consumers."
insane7410 Agosto 2015, 14:02 #8
qui http://www.engadget.com/2015/08/08/...-sinkhole-flaw/ si parla delle CPU prodotte tra il 1997 e il 2010.
pabloski10 Agosto 2015, 15:04 #9
Originariamente inviato da: insane74
qui http://www.engadget.com/2015/08/08/...-sinkhole-flaw/ si parla delle CPU prodotte tra il 1997 e il 2010.


appunto

diranno che "non è facile trovare ed usare vulnerabilità in quel codice", ma poi quando se ne trova una è una strage

e ovviamente quel tipo di memorie non può essere a sola lettura, proprio perchè può essere necessario dover aggiornare il codice

come accade col software "normale" insomma, con la differenza che questo software qui è opaco, sconosciuto ai più, ficcato in posti difficilmente accessibili, ecc...

ma loro arriveranno e ci diranno "ecco perchè vogliamo criptare tutto e ficcarvi il tpm ovunque", solo che la storia dimostra che le chiavi usate per questi scopi hanno la tendenza a farsi rubare

mah, sarò complottista, però a me sembra che gli unici a guadagnarci da tutta questa charade siano gli spioni
bobafetthotmail10 Agosto 2015, 16:08 #10
Toh, mettere dei firmware merdacchiosi nell'hardware causa falle di sicurezza...

Il problema è che quella versione sia writable. Capisco la possibilità di aggiornare il firwmare di una CPU (ma quando mai, poi?), ma IMHO sarebbe stato meglio fosse stata read-only.
Conosci i microcode? Le CPU aggiornano il firware (che di per sè sarebbe read-only, e al riavvio l'aggiornamento non resta) ogni volta che avvi un sistema operativo decente che glie li aggiorna con un driver.

Originariamente inviato da: pabloski
mah, sarò complottista, però a me sembra che gli unici a guadagnarci da tutta questa charade siano gli spioni
Anche chi vende i processori...

Le falle di sicurezza di un sistema servono ad invogliare a comprare quello successivo, che non ha quelle falle. (ma amgari ne ha altre)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^