LINUX.ORG.RU

Обнаружена уязвимость и представлены эксплоиты для процессоров Intel

 ,


0

0

Джоанна Рутковская (Joanna Rutkowska) опубликовала информацию об уязвимости в процессорах Intel, позволяющей выполнить произвольный код в режиме SMM с привилегиями бОльшими, чем привилегии нулевого кольца (Ring 0).

SMM (System Management Mode) - это специальный малодокументированный режим работы процессоров Intel, который впервые появился в 386SL. В этом режиме приостанавливается нормальное выполнение кода, и специальное ПО (обычно firmware или отладчик с аппаратной поддержкой) выполняется в режиме с высокими привилегиями.

Эксплоиты используют кэш процессора для доступа к SMRAM - защищенной памяти для режима SMM. Из двух представленных эсплоитов один делает дамп памяти SMRAM, а второй производит выполнение кода в режиме SMM.

Потенциальное применение уязвимости может привести к появлению SMM-руткитов, компрометированию работы гипервизоров и/или обходу защиты ОС. Известно, что Intel осведомлена о данной уязвимости - она уже исправлена в материнской плате DQ45CB, хотя более ранние модели остаются уязвимыми.

>>> Подробности

★★★★★

Проверено: maxcom ()

дополню - уязвимости подвержены только процессоры с tXt (Trusted Execution Technology) и возможность эксплуатации SMM сильно зависит от конкретной реализации BIOS.

Также в 64 bit режиме (Long/Compat mode) режим SMM (Legacy) должен быть недоступен.

Sylvia ★★★★★
()

> Известно, что Intel осведомлена о данной уязвимости - она уже исправлена в материнской плате DQ45CB, хотя более ранние платы остаются уязвимыми.

Подозреваю что БИОС на этой материнке просто загружает обновлённый микрокод в процессор. Если это так, то под линуксом фиксить процессор можно с помощью утилиты с http://urbanmyth.org/microcode/.

Deleted
()

Насколько я понял, для этого эксплойта нужен код режима ядра или IOPL. Но если взломщик достиг этого, то game уже over.

tailgunner ★★★★★
()

Ну всё, венде теперь точно капец!

ZZaiatSS ★★
()
Ответ на: комментарий от tailgunner

для вендузятников актуально

есть еще и руткит для венды на основе гипервизора, по сути венда работает в виртуальной машине , bluepill - redpill project, тоже заслуга этой же лаборатории

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

>дополню - уязвимости подвержены только процессоры с tXt (Trusted Execution Technology) и возможность эксплуатации SMM сильно зависит от конкретной реализации BIOS.

Trusted Computing? это оно?

А по теме: разве бывают женщины компьютерщики o_O?

dikiy ★★☆☆☆
()
Ответ на: комментарий от dikiy

>Trusted Computing
да, процессорная его часть

>бывают женщины компьютерщики

не так много как мужчин конечно ;)

Sylvia ★★★★★
()

Ох уж этот штеуд, то член у них слишком длинный, то майка слишком короткая... Доколе?

Lumi ★★★★★
()

Так бояться уже можно, или обождать пока?

ist76 ★★★★★
()

>представлены эксплоиты для процессоров Intel

//Sponsored by Advanced Micro Devices.

Sekai
()

Серьезность этой баги надумана слишком. Они бы еще вспомнили ту древнющую ошибку 20-летней давности.

MuZHiK-2 ★★★★
()
Ответ на: комментарий от MuZHiK-2

>Серьезность этой баги надумана слишком.

Конечно надумана, учитывая что у Интела ~60% рынка...

X-Pilot ★★★★★
()
Ответ на: комментарий от walt22

Эта девица успешно ломает шкафы со скелетами, а пеарятся как раз "инженеры" штеуда, рассказывая, какие у них офигительные процессоры.

Lumi ★★★★★
()
Ответ на: комментарий от MuZHiK-2

Вероятность, что тебя заломают и подсадят такой руткит, конечно мала, но она есть.

Lumi ★★★★★
()
Ответ на: комментарий от stampoon

>слава богу и меня amd :)

они перестали греться? а то два года назад все говорили что все ок, взял себе и сгорел он через месяц...

st0ke
()
Ответ на: комментарий от Sylvia

>уязвимости подвержены только процессоры с tXt (Trusted Execution Technology)

Тогда это не уязвимость, а нормальное функционирование троянской по сути подсистемы.

Absurd ★★★
()
Ответ на: комментарий от st0ke

>они перестали греться? а то два года назад все говорили что все ок, взял себе и сгорел он через месяц...

ты забыл вентиялтор поставить. он все еще нужен.

prizident ★★★★★
()
Ответ на: комментарий от tailgunner

> Насколько я понял, для этого эксплойта нужен код режима ядра или IOPL. Но если взломщик достиг этого, то game уже over.

Нет, это только выход на следующий уровень. Краткое содержание игры на этом уровне: админ обнаруживает взлом и пытается изгнать взломщика. Взломщик ставит руткиты, стараясь чтобы админ их не заметил и не смог удалить полностью.

www_linux_org_ru ★★★★★
()
Ответ на: комментарий от walt22

> По моему мадама с пшекской фамилией решила просто немного "попеариццо".

Не

For example, two years ago researcher Joanna Rutkowska introduced a rootkit called Blue Pill, which used AMD's chip-level virtualization technology to hide itself.

www_linux_org_ru ★★★★★
()
Ответ на: комментарий от st0ke

>они перестали греться? а то два года назад все говорили что все ок, взял себе и сгорел он через месяц.

неудачник.

sicus
()

фамилия у мадамы оч. подходит к её роду деятельности

staks
()

Проверил кто-нибудь под виртуальной машиной?
http://invisiblethingslab.com/itl/Resources.html
код и статья там

я на опеннет комментил цитату из интел мануала
http://www.intel.com/design/pentiumii/manuals/243192.htm

Штеуд честно советует вошёл в SMM сбрось кэш(правда вдиимо сам не до конца следует советам)

12.4.2. SMRAM Caching
An Intel Architecture processor supporting SMM does not unconditionally write back and inval-
idate its cache before entering SMM. Therefore, if SMRAM is in a location that is “shadowed”
by any existing system memory that is visible to the application or operating system, then it is
necessary for the system to flush the cache upon entering SMM. This may be accomplished by
asserting the FLUSH# pin at the same time as the request to enter SMM. The priorities of the
FLUSH# pin and the SMI# are such that the FLUSH# will be serviced first. To guarantee this
behavior, the processor requires that the following constraints on the interaction of SMI# and
FLUSH# be met.
In a system where the FLUSH# pin and SMI# pins are synchronous and the set up and hold times
are met, then the FLUSH# and SMI# pins may be asserted in the same clock. In asynchronous
systems, the FLUSH# pin must be asserted at least one clock before the SMI# pin to guarantee
that the FLUSH# pin is serviced first. Note that in Pentium® processor systems that use the
FLUSH# pin to write back and invalidate cache contents before entering SMM, the processor
will prefetch at least one cache line in between when the Flush Acknowledge cycle is run, and
the subsequent recognition of SMI# and the assertion of SMIACT#. It is the obligation of the
system to ensure that these lines are not cached by returning KEN# inactive to the Pentium®
processor.
                                                                                           12-7
SYSTEM MANAGEMENT MODE (SMM)
Intel Architecture processors do not write back or invalidate their internal caches upon leaving
SMM. For this reason, references to the SMRAM area must not be cached if any part of the
SMRAM shadows (overlays) non-SMRAM memory; that is, system DRAM or video RAM. It
is the obligation of the system to ensure that all memory references to overlapped areas are
uncached; that is, the KEN# pin is sampled inactive during all references to the SMRAM area
for the Pentium® processor. The WBINVD instruction should be used to ensure cache coherency
at the end of a cached SMM execution in systems that have a protected SMM memory region
provided by the chipset.

dimon555 ★★★★★
()

>они перестали греться? а то два года назад все говорили что все ок, взял себе и сгорел он через месяц.

неудачник

>ты забыл вентиялтор поставить. он все еще нужен.

+1

>слава богу и меня amd :)

+1

>Серьезность этой баги надумана слишком. ну да, конечно надумана...

половина рынка CPU в мире. а так ничего.

и это при том, что как я понимаю залатать эту багу крайне сложно. А так ничего, ща быстренько сбегаю в магаз, и закажу 500-600 материнок DQ45CB на парк своей организации, а так ничего, плевая уезвимость. Ведь ошибка всего лишь на уровне железа...:(

>//Sponsored by Advanced Micro Devices.

+1

>Так бояться уже можно, или обождать пока?

поздно уже бояться, пора идти за полотенцем( или еще чем нить, вытереть)... :(

>для вендузятников актуально

эх, если бы только для них. другое дело что мало кто допрет писать вирь под линь, а вот руткит, который в top-е не высветится, при чем поперек любой защиты от вторжения(эх, проникнуть бы еще), это то что многих из нас может ждать. так что вендузятникам пора забыть про доктора и карла, они их от такой заразы спасти не смогут, а поклонникам тукса вспомнить про noexec, в fstab-е. :( >>бывают женщины компьютерщики >не так много как мужчин конечно ;)

ога, в свитерах и потертых джинсах... видели мы таких, бе. :(

> Насколько я понял, для этого эксплойта нужен код режима ядра или IOPL. Но если взломщик достиг этого, то game уже over.

это лет пять - десять назад взламывали для дефейса и кражи денег, а щас зарабатывают более изощренно, и если вдруг при очередной проверке карлы или просмотра запущенных демонов ты обнаружишь эту бяку, то жить ей до первого щелчка мыши, а вот если она в выполняется выше уровня ядра, то хрен ты его увидишь. а свое дело делать он будет!

>Также в 64 bit режиме (Long/Compat mode) режим SMM (Legacy) должен быть недоступен.

согласен, но сколько их, 64 bit ОС? явно меньшинство!

блин, я уж думал что вирусописательство загибается, а нет, смотрите ка, огромный простор для мотивирования к покупке новых ПК и антивирей. Мне то конечно не страшно на моём amd с 64 битным ядром, но за сервы (какое счастье что они не на мне), с 32 битными altами на свежих интелах страшновато. А главное, еще лет пять денег на обновление парка не дадут!:(:(:(

hokum13
()
Ответ на: комментарий от Sylvia

> уязвимости подвержены только процессоры с tXt (Trusted Execution Technology)

т.е. если эта штука отключена в бивисе - все ОК?

isden ★★★★★
()
Ответ на: комментарий от Sylvia

то есть для 64-х битной ОС это не сработает? или что имеется ввиду? и откуда такая инфа?

Qasta
()
Ответ на: комментарий от hokum13

> ога, в свитерах и потертых джинсах... видели мы таких, бе. :(

не туда смотрели и не там искали.... /me мечтательно вздохнул.

isden ★★★★★
()
Ответ на: комментарий от tailgunner

>Насколько я понял, для этого эксплойта нужен код режима ядра или IOPL. Но если взломщик достиг этого, то game уже over.

В случае успешного использования, уязвимость позволит: 1) Модифицировать поведение ядра, даже если оно собрано без поддержки загружаемых модулей 2) Если получены права root в одной из виртуальных машин, то можно будет получить контроль над реальной машиной целиеом.

Evil_And ★★
()
Ответ на: комментарий от walt22

> стати, страшна мадама аки атомная война:)

Да вроде ничё так

EuGeneus ★★
()
Ответ на: комментарий от walt22

> Мде, я уже погуглил. Кстати, страшна мадама аки атомная война:)

Это факт. Вообще, красивая полячка -- такое же чудо, как еврей-оленевод. Встречается обычно лишь при условии, что оба ее родителя -- эмигранты из Украины или России. В прошлом году в Варшаве я просек только одну действительно красивую девушку, и то, она была чернокожая.

shimon ★★★★★
()
Ответ на: комментарий от Evil_And

>>Насколько я понял, для этого эксплойта нужен код режима ядра или IOPL. Но если взломщик достиг этого, то game уже over.

> В случае успешного использования, уязвимость позволит: 1) Модифицировать поведение ядра, даже если оно собрано без поддержки загружаемых модулей

Для использования этой уязвимости нужен рут, а он может модифицировать ядро и без модулей.

> 2) Если получены права root в одной из виртуальных машин, то можно будет получить контроль над реальной машиной целиеом.

Можешь процитировать место из статьи, где об этом говорится?

tailgunner ★★★★★
()
Ответ на: комментарий от Sylvia

>>Trusted Computing >да, процессорная его часть

Офигеть. Я думал, что это только в проекте было. Но оно ж по умолчанию не включено хоть?

dikiy ★★☆☆☆
()
Ответ на: комментарий от tailgunner

>> 2) Если получены права root в одной из виртуальных машин, то можно будет получить контроль над реальной машиной целиеом.

>Можешь процитировать место из статьи, где об этом говорится?

Это логично. Ведь обычно код виртуальной машины передается напрямую на исполнение процессору. Так что вполне можно предположить, что можно сделать jail-break.

dikiy ★★☆☆☆
()
Ответ на: комментарий от dikiy

>>> 2) Если получены права root в одной из виртуальных машин, то можно будет получить контроль над реальной машиной целиеом.

>>Можешь процитировать место из статьи, где об этом говорится?

>Это логично.

Весь взлом - результат ошибки. Я не ищу логику в ошибках.

> Ведь обычно код виртуальной машины передается напрямую на исполнение процессору.

И что?

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

>Можешь процитировать место из статьи, где об этом говорится?

лично я предлагаю это проверить, код есть по ссылкам там простой эксплойт под линукс, trusted computing тут не причём

sudo cat /proc/mtrr
\reg00: base=0x00000000 ( 0MB), size=2048MB: write-back, count=1
reg01: base=0x80000000 (2048MB), size=1024MB: write-back, count=1
reg02: base=0xc0000000 (3072MB), size= 256MB: write-back, count=1
reg03: base=0xd0000000 (3328MB), size= 128MB: write-back, count=1
reg04: base=0xd7f00000 (3455MB), size= 1MB: uncachable, count=1
reg05: base=0x100000000 (4096MB), size=4096MB: write-back, count=1
reg06: base=0x200000000 (8192MB), size= 512MB: write-back, count=1

рут нужен, чтобы сделать uncachable во write-back, далее нужно заразить кэш, тогда этот код будет запущен с привилегиями SMM, чтобы вызвать SMI# я так понял нужно записать значение в какой-то из портов

dimon555 ★★★★★
()
Ответ на: комментарий от tailgunner

>> Ведь обычно код виртуальной машины передается напрямую на исполнение процессору.

>И что?

А то, что ты "хакнешь" реальный процессор.

dikiy ★★☆☆☆
()

Security by obscurity рулит! Меньше знаешь - крепче спишь.

mrxrrr
()
Ответ на: комментарий от st0ke

>они перестали греться? а то два года назад все говорили что все ок, взял себе и сгорел он через месяц...
 
oO
AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
Core0 Temp: +35°C

stampoon
()
Ответ на: комментарий от dimon555

> рут нужен, чтобы сделать uncachable во write-back, далее нужно заразить кэш, тогда этот код будет запущен с привилегиями SMM, чтобы вызвать SMI# я так понял нужно записать значение в какой-то из портов

Для этого нужен рут. KVM можно пустить и без рута.

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

>Для этого нужен рут. KVM можно пустить и без рута.

тогда можно сильно не нервничать

dimon555 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.