18:58
9/8/2015

* Atak na x86: “memory sinkhole”

Funkcja SMM wprowadzona w 1997 roku do chipów x86 może zostać wykorzystana do instalacji rootkita (albo uszkodzenia systemu). Opis błędu i ataku dotyczy procesorów Intela, ale — według badaczy — w teorii AMD także mają ten problem.

Jeśli pomyśleliście, że pomóc może mechanizm SecureBoot, to niestety jesteście w błędzie — on też polega na SMM. Krótko mówiąc, “wyleczenie” komputera jest możliwe poprzez wyczyszczenie firmware’u z chipa.

Na koniec uspokajamy — aby przeprowadzić udany atak, włamywacz musi dysponować uprawnieniami na poziomie systemu, co znacznie ogranicza ryzyko. Intel już szykuje łatki dla starszych procesorów, a póki co przed niniejszym atakiem zabezpieczone są procesory Sandy Bridge.

PS. W tym temacie warto też przeczytać ten wpis.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

8 komentarzy

Dodaj komentarz
  1. “aby przeprowadzić udany atak, włamywacz musi dysponować uprawnieniami na poziomie systemu”

    Wystarczy uruchomić CMD na ekranie logowania?

    • Przeczytałbyś prezentację, to byś wiedział, że chodzi o ring 0…

  2. inne produkcje tego samego goscia to _nigdy nie opublikowany_ cantor.dust oraz implementacja obskurujacego kompilatora uzywajacy tylko MOVow

    Autor exploita pracuje dla Battelle Memorial (polecam zajrzec na ich strone, firma prosto z X-files, rekonstrukcja twarzy z DNA, drony, zywnosc genetycznie modyfikowana)
    Battelle Memorial jest przykrywka CIA (mozna sobie wygoglac), to taka niewinna firemka R&D o statusie non profit ktorej jedynym klientem jest DoD ….
    Exploit dziala tylko na procesorach starszych niz 10 lat, wiec operacyjnie nie jest juz przydatny dla CIA

    innymi slowy jest to jeden z koderow klepiacych stuxnety, trojany w firmwerze HDD i temu podobne scierwo

    • “Exploit dziala tylko na procesorach starszych niz 10 lat, wiec operacyjnie nie jest juz przydatny dla CIA” czyli że nie będą go używać.A na te nowsze procesory są nowsze eksploity o których napiszą w 2025 r.Czyli dla paranoików bezpieczeństwa najbardziej by sie opłacało wrócić do procesorów z okresu do 2005r.Jakieś Pentium D albo AMD X2.

    • @Barbiken krótko i zwięźle: spierdalaj.

  3. “a póki co przed niniejszym atakiem zabezpieczone są procesory Sandy Bridge.”
    Pewnie ci co mają Sandy Bridge i nowsze to dopiero w 2025 sie dowiedzą jakie tam były eksploity.Sam mam Sandy Bridge więc jeszcze pewnie z 10 lat będe musiał czekać żeby sie dowiedzieć co tam w tych cpu siedzi.

  4. A co z Haswellem?

  5. Ta pewnie piszą sterownik który jest ładowany przez loader po tym mogą korzystać z dziórki zamontowanej w procach ja dalej używam Pentium 4 ciekawe jak to uruchmić

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.