Architetture x86: una falla vecchia di 20 anni espone al rischio rootkit
Una caratteristica inserita nel 1997 nelle architetture x86 ha aperto una vulnerabilità che può consentire, in talune circostanze, di installare rootkit a basso livello per compromettere un sistema in maniera persistente ed invisibile
di Andrea Bai pubblicata il 10 Agosto 2015, alle 11:11 nel canale SicurezzaUna falla progettuale nell'architettura dei processori x86 che risale almeno a vent'anni fa, potrebbe consentire ad un attaccante di installare un rootkit nel firmware a basso livello di un computer che risulterebbe trasparente alle soluzioni di sicurezza. E' la scoperta effettuata nei giorni scorsi da Christopher Domas, un ricercatore di sicurezza del Battelle Memorial Institute che ha partecipato alla conferenza Black Hat.
La vulnerabilità nasce da una caratteristica inserita nell'architettura x86 nel 1997. Sfruttando questa vulnerabilità è possibile installare un rootkit nel System Management Mode del processore, una porzione protetta di codice che sta alla base tutte le caratteristiche di sicurezza firmware nei moderni computer.
Una volta installato il rootkit potrebbe essere usato per attacchi anche piuttosto gravi, come ad esempio la cancellazione dell'UEFI o la reinstallazione di malware anche a seguito di una installazione del sistema operativo. Le misure di protezione come Secure Boot non sarebbero di alcun aiuto perché anch'esse si basano sull'SMM. In altri termini un attacco di questo tipo va a infrangere le fondamenta della sicurezza hardware.
Per poter sfruttare la falla e installare il rootkit l'attaccante dovrebbe già avere privilegi di kernel o sistema su un computer. Ciò significa che la falla non può essere usata per compromettere un sistema, ma potrebbe rappresentare un metodo per aggravare una compromissione già esistente e renderla persistente e invisibile.
Domas ha effettuato i propri test sui processori Intel ma ha osservato che anche i processori x86 realizzati da AMD potrebbero essere interessati dal problema. Secondo quanto riferisce il ricercatore, Intel sarebbe a conoscenza del problema e nelle più recenti CPU avrebbe trovato il modo di porvi rimedio. L'azienda californiana sta inoltre preparando una serie di aggiornamenti firmware anche per i processori meno recenti, anche se non a tutti potrà essere applicata una patch.
MWC 2025: dalle reti alle applicazioni, il 5G diventa l’infrastruttura per il futuro dell’IA
Recensione Logitech G PRO X TKL Rapid: la prima tastiera analogica del brand è promossa
Apple MacBook Air 15" M4: l’evoluzione significativa continua e ora costa meno! Recensione
JBL presenta Flip 7, Charge 6 e i nuovi altoparlanti PartyBox
Nintendo SNES come il rum: migliora (le prestazioni) con l'invecchiamento
People Can Fly e Sony hanno stretto un accordo per un misterioso progetto
Star Wars: Hunters chiuderà i server a ottobre 2025, a poco più di un anno dal lancio
Addio Pro Max? Quest'anno potrebbe arrivare iPhone 17 Ultra
HONOR Pad V9: il tablet perfetto per tutti i giorni. È lui il nuovo best-buy? La recensione
PlayStation: dopo il video prontamente rimosso da Sony, l'attrice di Aloy si dice preoccupata
Tutte le migliori offerte sui televisori in questo momento: Amazon abbassa i prezzi su LG OLED, Samsung, Hisense e molti altri modelli!
AVM al Mobile World Congress: focus su Wi-Fi 7, 5G e fibra ottica
Lanciata la missione Transporter-13 di SpaceX, a bordo la costellazione italiana H.E.R.M.E.S. di PoliMi, ASI e INAF
La minaccia del disc rot: neanche i supporti fisici sono eterni
Il lander Blue Ghost di Firefly Aerospace sta per concludere la missione sulla Luna: questo l'ultimo messaggio
GeForce RTX 5000: i system integrator accusati di bagarinaggio, ma lamentano anche loro prezzi insostenibili
Panasonic investe 30 milioni di euro in tado° per l'innovazione nelle pompe di calore intelligenti
68 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infovabbè, un non-problema
vabbè, un non-problema
per la precisione l'articolo originale dice "need to have kernel or system privileges on a computer"
non è raro trovare in circolazione malware che girano con quel livello di privilegio
il problema imho è che si sta mettendo troppa roba "lato hardware", creando una superficie d'attacco notevole, in zone la cui esistenza è sconosciuta all'utente medio e dove gli antivirus non possono mettere mano
e onestamente non comprendo il perchè si stia procedendo in questa direzione
vabbè, un non-problema
mica tanto, vuol dire che una vola infettato devi buttare la cpu perchè si è installato nel firmware. Sempre che te ne accorga, perchè a quel punto non è più rilevabile.
Mi puzza tanto di nsa...
non è raro trovare in circolazione malware che girano con quel livello di privilegio
il problema imho è che si sta mettendo troppa roba "lato hardware", creando una superficie d'attacco notevole, in zone la cui esistenza è sconosciuta all'utente medio e dove gli antivirus non possono mettere mano
e onestamente non comprendo il perchè si stia procedendo in questa direzione
Mi puzza tanto di nsa...
Appunto, secondo me in questo modo rendono la vita più facile a chi vuole "controllare"
Poi vabbé, non ho approfondito, quindi potrei aver detto una cazzata
By(t)e
E va a sapere cosa abbiamo al giorno d'oggi nei nostri dispositivi.
da ricordare però anche che
"Even if BIOS/UEFI updates are made available by computer manufacturers, their rate of adoption is likely to be very low, especially among consumers."
appunto
diranno che "non è facile trovare ed usare vulnerabilità in quel codice", ma poi quando se ne trova una è una strage
e ovviamente quel tipo di memorie non può essere a sola lettura, proprio perchè può essere necessario dover aggiornare il codice
come accade col software "normale" insomma, con la differenza che questo software qui è opaco, sconosciuto ai più, ficcato in posti difficilmente accessibili, ecc...
ma loro arriveranno e ci diranno "ecco perchè vogliamo criptare tutto e ficcarvi il tpm ovunque", solo che la storia dimostra che le chiavi usate per questi scopi hanno la tendenza a farsi rubare
mah, sarò complottista, però a me sembra che gli unici a guadagnarci da tutta questa charade siano gli spioni
Le falle di sicurezza di un sistema servono ad invogliare a comprare quello successivo, che non ha quelle falle. (ma amgari ne ha altre)
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".