Systeme mit Intel CPUs über Cache Poisoning angreifbar

BLJ · 20. März 2009

http://www.planet3dnow.de/cgi-…iewnews.cgi?id=1237551187

Hallo,

lustig, gestern war ich an ner sehr interessanten Vorlesung über sichere Applikationsentwicklung... passt grad.

Anyway: Gerade eben wurde ein Exploit zu ner Sicherheitslücke in Intel CPU's veröffentlicht.

Ausbreitung: Systeme mit Intel CPUs, Chipsets bis (aber ohne) Generation x4x. Wenn man ein neues Chipset der x4x Generation hat, soll das Problem nicht vorhanden sein.

Auswirkung: Rootkits können Code als höchst priviligierten Code ausführen, d.h. undetektierbar, ggf. sind Virenscanner machtlos so bald der Code mal drauf ist.

Detaillierte Infos:
http://invisiblethingslab.com/…/misc09/smm_cache_fun.pdf

Exploit code: http://invisiblethingslab.com/resources/misc09/o68-2.tgz).
(Linux Version)

Mc Queen · 20. März 2009

...da hat das Fanboy wohl wieder mal ein Krümmelchen gefunden

BLJ · 21. März 2009

Zitat

Original von Mc Queen
...da hat das Fanboy wohl wieder mal ein Krümmelchen gefunden

Naja ich finde es doch sehr interessant.
ähnliche Fehler gibt / gab es in AMD's Pacifica auch.
Bei Intel sind noch 2 weitere SMM relevante Fehler bekannt.

Es ist eine gefährliche Entwicklung der Angriffe auf Computersysteme...

Zu all dem kommt, dass der Exploit Betriebssystem unabhängig ist.

Naja das nächste mal werde ich sowas hier wohl nicht posten, scheint ja niemanden hier zu interesseren.

EDIT: und was das mit dem Krümmelchen angeht.. naja ich glaub da bist du dir nicht so ganz des Ausmasses bewusst...

SkankY · 21. März 2009

naja ich weiss ja nicht wie es den anderen geht.

ich fand es interessant, nur muss ich ja deswegen nicht den thread unnötig belasten.
habs gelesen und zur kentniss genommen aber was gescheites dazu sagen kann ich halt nicht.

Mc Queen · 21. März 2009

den Thread belasten huh? ^^ hahaha, so was blödes hab ich noch nie gehört......."den Thread belasten".....ich schmeiss mich wech

kNt · 21. März 2009

Verstehe ich das jetzt Richtig, man kann mit dieser Lücke etwas böses anstellen ohne das es normale Virenscanner o.ä. entdecken? Weil ansich dachte ich wenn man Administratorrechte nötig sind um zu exploiten, dann kann man sowieso böse Sachen anstellen?

BLJ · 21. März 2009

Zitat

Original von kNt
Verstehe ich das jetzt Richtig, man kann mit dieser Lücke etwas böses anstellen ohne das es normale Virenscanner o.ä. entdecken? Weil ansich dachte ich wenn man Administratorrechte nötig sind um zu exploiten, dann kann man sowieso böse Sachen anstellen?

Naja der Virenscanner kann das Ding ggf. beim "installieren" erkennen.. oder wenn du dir ein Binary auf die Platte kopierst.

Wenn so ein Ding mal drauf ist, kann es sich aber unsichtbar machen, da KEIN einziger Prozess, nicht mal der Kernel, auf den Code zugreifen kann... der Virenscanner kann also so lange wie er will Ram & Prozesse durchsuchen.

Wenn das Ding es dann noch fertig bringt sich selber früher als der Virenscanner zu laden kann es das System sauber halten und du wirst es nie entdecken, wenn es mal installiert ist...

böse Sachen kann man natürlich auch sonst mit Admin rechten ausführen.

Allerdings gibt's z.B. bei Windows auch noch höhere Berechtigungsstufen als Admin - solche die man als User nie kriegt... und der Schadcode kann sich dann mit höherer Berechtigung ausführen als die höchste Kernel-Berechtigung.

Desswegen wird es Ring -2 genannt (AFAIR: Ring -1 = Hardware Hypervisor, Ring 0 = höchste Stufe Kernel, .. etc)