英特爾遭遇CPU級RootKit,目前無藥可醫
Intel CPU 緩存被暴漏洞,研究報告與 RootKit利用代碼即將出爐。
"3月19日,我們將就Intel CPU 的緩存機制漏洞,公布一份報告及漏洞利用。相關攻擊可以在目前大部分IntelCPU的主板上從Ring0提權至SMM。Rafal在幾個小時內就做出了一份漏洞利用代碼。" Joanna女強人在博客中寫道。
本次漏洞利用的致命之處,在于它能將自身隱藏在SMM空間中,SMM權限高于VMM,設計上不受任何操作系統控制、關閉或禁用。實際應用中唯一能確認SMM空間中運行代碼的方法只有物理性的分離計算機固件。
由于SMI優先于任何系統調用,任何操作系統都無法控制或讀取SMM,使得SMM RootKit有超強的隱匿性。
其厲害程度與之前的BluePill相似,但比VMM攻擊涉及到系統的更深層面。而 SMM自386時代就出現在Intel CPU中。
Joanna 和 Loic 這次將發布從未公布過的Intel緩沖HACK。
它不但可以控制SMM空間還能運行其新型RootKit,控制計算機。新的 RootKit 甚至有能力連接服務器更新代碼,儲存數據。運行于操作系統中的任何軟件都將無法檢測此類利用。
據 Joanna 說,Intel員工,對Intel的此類 CPU 緩存及SMM漏洞利用的署名討論可以追溯到2005年。她與Loic于去年10月已經向Intel正式提交過報告。
Intel將問題通知了CERT并將其歸為漏洞VU#127284號。現在Intel已經知道漏洞的存在好多年了,卻沒有做出應有的修正。無奈,安全專家們別無選擇,只能公布他們的發現。如果此漏洞利用真的已經存在數年,那么一定早已有人開始利用它。
正如Joanna所說"漏洞就在那里,如果足夠長的時間內沒人理會,幾乎可以肯定,懷著各種意圖的人們將會發現它并將之利用,只是遲早的事。所以請不要責怪研究人員,他們發現并公布問題 - 他們實際上是為了幫助我們的社會。"
【編輯推薦】
