Systeme mit Intel CPUs über Cache Poisoning angreifbar

  • http://www.planet3dnow.de/cgi-…iewnews.cgi?id=1237551187


    Hallo,


    lustig, gestern war ich an ner sehr interessanten Vorlesung über sichere Applikationsentwicklung... passt grad.


    Anyway: Gerade eben wurde ein Exploit zu ner Sicherheitslücke in Intel CPU's veröffentlicht.


    Ausbreitung: Systeme mit Intel CPUs, Chipsets bis (aber ohne) Generation x4x. Wenn man ein neues Chipset der x4x Generation hat, soll das Problem nicht vorhanden sein.


    Auswirkung: Rootkits können Code als höchst priviligierten Code ausführen, d.h. undetektierbar, ggf. sind Virenscanner machtlos so bald der Code mal drauf ist.


    Detaillierte Infos:
    http://invisiblethingslab.com/…/misc09/smm_cache_fun.pdf


    Exploit code: http://invisiblethingslab.com/resources/misc09/o68-2.tgz).
    (Linux Version)

    Marktplatz Bewertung
    Kiste 1: Sloti 800 TB
    Kiste 2: DLT3C @ 2.6GhZ
    ...
    Kiste 7 & Kiste 8: PhII 720BE, 8GB ram. 1x mit X25-m II 80GB & 4870, 1x mit indilinx MLC 32GB

    [SIZE=7]Dieser Beitrag, inkl. vorhandenen Anhängen, ist ungeschützt und könnte während der Übermittlung oder nachträglich von 3. verändert werden. Der Absender schliesst deshalb jede Haftung oder rechtliche Verbindlichkeit für elektronisch versandte Nachrichten aus. Weiter ist der Inhalt des Postings frei erfunden, eventuelle Annäherungen an die Realität sind höchstens unbeabsichtigt und zufällig entstanden. Zu all meinen PCs haben mehrere Leute Zugang und nutzen diesen auch.[/SIZE]

    Einmal editiert, zuletzt von BLJ ()

  • Zitat

    Original von Mc Queen
    ...da hat das Fanboy wohl wieder mal ein Krümmelchen gefunden :tongue



    Naja ich finde es doch sehr interessant.
    ähnliche Fehler gibt / gab es in AMD's Pacifica auch.
    Bei Intel sind noch 2 weitere SMM relevante Fehler bekannt.


    Es ist eine gefährliche Entwicklung der Angriffe auf Computersysteme...


    Zu all dem kommt, dass der Exploit Betriebssystem unabhängig ist.


    Naja das nächste mal werde ich sowas hier wohl nicht posten, scheint ja niemanden hier zu interesseren.


    EDIT: und was das mit dem Krümmelchen angeht.. naja ich glaub da bist du dir nicht so ganz des Ausmasses bewusst...

    Marktplatz Bewertung
    Kiste 1: Sloti 800 TB
    Kiste 2: DLT3C @ 2.6GhZ
    ...
    Kiste 7 & Kiste 8: PhII 720BE, 8GB ram. 1x mit X25-m II 80GB & 4870, 1x mit indilinx MLC 32GB

    [SIZE=7]Dieser Beitrag, inkl. vorhandenen Anhängen, ist ungeschützt und könnte während der Übermittlung oder nachträglich von 3. verändert werden. Der Absender schliesst deshalb jede Haftung oder rechtliche Verbindlichkeit für elektronisch versandte Nachrichten aus. Weiter ist der Inhalt des Postings frei erfunden, eventuelle Annäherungen an die Realität sind höchstens unbeabsichtigt und zufällig entstanden. Zu all meinen PCs haben mehrere Leute Zugang und nutzen diesen auch.[/SIZE]

    Einmal editiert, zuletzt von BLJ ()

  • naja ich weiss ja nicht wie es den anderen geht.


    ich fand es interessant, nur muss ich ja deswegen nicht den thread unnötig belasten.
    habs gelesen und zur kentniss genommen aber was gescheites dazu sagen kann ich halt nicht.

  • Verstehe ich das jetzt Richtig, man kann mit dieser Lücke etwas böses anstellen ohne das es normale Virenscanner o.ä. entdecken? Weil ansich dachte ich wenn man Administratorrechte nötig sind um zu exploiten, dann kann man sowieso böse Sachen anstellen?

  • Zitat

    Original von kNt
    Verstehe ich das jetzt Richtig, man kann mit dieser Lücke etwas böses anstellen ohne das es normale Virenscanner o.ä. entdecken? Weil ansich dachte ich wenn man Administratorrechte nötig sind um zu exploiten, dann kann man sowieso böse Sachen anstellen?


    Naja der Virenscanner kann das Ding ggf. beim "installieren" erkennen.. oder wenn du dir ein Binary auf die Platte kopierst.


    Wenn so ein Ding mal drauf ist, kann es sich aber unsichtbar machen, da KEIN einziger Prozess, nicht mal der Kernel, auf den Code zugreifen kann... der Virenscanner kann also so lange wie er will Ram & Prozesse durchsuchen.


    Wenn das Ding es dann noch fertig bringt sich selber früher als der Virenscanner zu laden kann es das System sauber halten und du wirst es nie entdecken, wenn es mal installiert ist...


    böse Sachen kann man natürlich auch sonst mit Admin rechten ausführen.


    Allerdings gibt's z.B. bei Windows auch noch höhere Berechtigungsstufen als Admin - solche die man als User nie kriegt... und der Schadcode kann sich dann mit höherer Berechtigung ausführen als die höchste Kernel-Berechtigung.


    Desswegen wird es Ring -2 genannt (AFAIR: Ring -1 = Hardware Hypervisor, Ring 0 = höchste Stufe Kernel, .. etc)

    Marktplatz Bewertung
    Kiste 1: Sloti 800 TB
    Kiste 2: DLT3C @ 2.6GhZ
    ...
    Kiste 7 & Kiste 8: PhII 720BE, 8GB ram. 1x mit X25-m II 80GB & 4870, 1x mit indilinx MLC 32GB

    [SIZE=7]Dieser Beitrag, inkl. vorhandenen Anhängen, ist ungeschützt und könnte während der Übermittlung oder nachträglich von 3. verändert werden. Der Absender schliesst deshalb jede Haftung oder rechtliche Verbindlichkeit für elektronisch versandte Nachrichten aus. Weiter ist der Inhalt des Postings frei erfunden, eventuelle Annäherungen an die Realität sind höchstens unbeabsichtigt und zufällig entstanden. Zu all meinen PCs haben mehrere Leute Zugang und nutzen diesen auch.[/SIZE]

    2 Mal editiert, zuletzt von BLJ ()