RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [新聞] Intel CPU曝重大安全漏洞隱形攻擊無解   字型大小:||| 
lightwing
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14
翼折のメモリー天使

今日心情

 . 積分: 1134
 . 文章: 1209
 . 收花: 10323 支
 . 送花: 2466 支
 . 比例: 0.24
 . 在線: 2577 小時
 . 瀏覽: 10843 頁
 . 註冊: 6861
 . 失蹤: 381
#1 : 2009-3-19 03:02 PM     只看本作者 引言回覆

資料來源
http://news.mydrivers.com/1/130/130393.htm

波蘭知名女性安全專家Joanna Rutkowska日前在博客上表示,她將於當地時間今天發表一篇論文,討論利用Intel CPU緩存機制的漏洞,神不知鬼不覺的侵入PC系統。
而另一位安全研究人員Loic Duflot則會同時在加拿大溫哥華舉行的CanSecWest安全會議上發表演講,介紹該漏洞和攻擊代碼。

據稱,該漏洞廣泛存在於當前的Intel CPU當中,攻擊的目標是CPU的SMM系統管理模式空間。 Intel自從386SL處理器開始,就引入了SMM系統管理模式。
它擁有獨立於操作系統的自由空間,通常主要用於固件更新或硬件Debug。但正是因為這個原因,如果攻擊代碼在SMM空間中運行,任何安全軟件都對它無能為力,因為普通PC的操作系統甚至都無法讀取SMM空間內的內容。

上月的BlackHat安全會議上,Joanna Rutkowska和許多其他安全研究人員探討了這一問題,此後受到啟發,在幾個小時內就編寫出了針對Intel CPU緩存漏洞的SMM Rootkit攻擊代碼。
後來她了解到,Loic Duflot實際上在去年10月就已經將該漏洞報告給了Intel官方,而早在2005年,Intel的開發人員就曾經在論文中提到了這一安全隱患。
在她今晚公佈的論文以及Loic Duflot的演講中,他們就將分別演示這種“最駭人、最隱秘、最危險”的攻擊代碼。

國外之前的報導
http://wwww.networkworld.com/new ... -find-a.html?page=1

===
目前SMM Rootkit攻擊看起來是無解的....



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
badcat
銀驢友〔初級〕
等級: 12等級: 12等級: 12
壞喵

 . 積分: 541
 . 精華: 3
 . 文章: 837
 . 收花: 3874 支
 . 送花: 982 支
 . 比例: 0.25
 . 在線: 3330 小時
 . 瀏覽: 62312 頁
 . 註冊: 7460
 . 失蹤: 392
#2 : 2009-3-19 06:15 PM     只看本作者 引言回覆

看來 Intel 這次是做球給對手 AMD 殺。(狂笑~)


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Kicks
銀驢友〔中級〕
等級: 13等級: 13等級: 13等級: 13
獸耳毒....

十週年紀念徽章(四級)  

今日心情

 . 積分: 631
 . 文章: 1464
 . 收花: 4440 支
 . 送花: 3517 支
 . 比例: 0.79
 . 在線: 3954 小時
 . 瀏覽: 65643 頁
 . 註冊: 7234
 . 失蹤: 90
 . 吵吵鬧鬧的海島國~
#3 : 2009-3-19 06:56 PM     只看本作者 引言回覆

看起來很嚇人
但仔細想想又似乎還好
就算能進到SMM攻擊,但由於CPU是不能斷電儲存的元件,重開機後就消失
再來攻擊代碼也不是無緣無故就會進SMM,在各種傳輸過程中還是有攔截的辦法吧.....

AMD以前有過利用MS的Updata散佈AMD CPU的XP更新檔.....不曉得是不是類似的案例



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
lightwing
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14
翼折のメモリー天使

今日心情

 . 積分: 1134
 . 文章: 1209
 . 收花: 10323 支
 . 送花: 2466 支
 . 比例: 0.24
 . 在線: 2577 小時
 . 瀏覽: 10843 頁
 . 註冊: 6861
 . 失蹤: 381
#4 : 2009-3-19 07:32 PM     只看本作者 引言回覆


引用:
Kicks寫到:
看起來很嚇人
但仔細想想又似乎還好
就算能進到SMM攻擊,但由於CPU是不能斷電儲存的元件,重開機後就消失
再來攻擊代碼也不是無緣無故就會進SMM,在各種傳輸過程中還是有攔截的辦法吧.....

怕的就是更改完系統擋你也不知道.....
更改完就不用怕你重開機...

目前的防毒軟體會去偵測封包、RAM、系統更改....等
但是SMM來改,防毒軟體沒辦法檔

目前是希望Intel能想辦法從BIOS或是patch更改,去改掉CPU Cache override的問題...

[lightwing 在  2009-3-19 07:38 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Kicks
銀驢友〔中級〕
等級: 13等級: 13等級: 13等級: 13
獸耳毒....

十週年紀念徽章(四級)  

今日心情

 . 積分: 631
 . 文章: 1464
 . 收花: 4440 支
 . 送花: 3517 支
 . 比例: 0.79
 . 在線: 3954 小時
 . 瀏覽: 65643 頁
 . 註冊: 7234
 . 失蹤: 90
 . 吵吵鬧鬧的海島國~
#5 : 2009-3-19 08:09 PM     只看本作者 引言回覆

進到SMM就沒輒了我能理解
但我想說的是進SMM之前能阻擋吧
攻擊代碼要進入我的電腦應該不外乎是使用病毒的手法
我想最後應會淪為防毒軟體病毒庫的一員

INTEL應該也會出修正,透過BIOS直接過濾是比較好沒錯,但會去更新BIOS的使用者有多少......
像AMD一樣透過MS的Updata針對OS發布修正比較可能



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
lightwing
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14
翼折のメモリー天使

今日心情

 . 積分: 1134
 . 文章: 1209
 . 收花: 10323 支
 . 送花: 2466 支
 . 比例: 0.24
 . 在線: 2577 小時
 . 瀏覽: 10843 頁
 . 註冊: 6861
 . 失蹤: 381
#6 : 2009-3-19 10:02 PM     只看本作者 引言回覆


引用:
Kicks寫到:
進到SMM就沒輒了我能理解
但我想說的是進SMM之前能阻擋吧
攻擊代碼要進入我的電腦應該不外乎是使用病毒的手法
我想最後應會淪為防毒軟體病毒庫的一員

INTEL應該也會出修正,透過BIOS直接過濾是比較好沒錯,但會去更新BIOS的使用者有多少......
像AMD一樣透過MS的Updata針對OS發布修正比較可能

SMM Rootkit嚴格來說AMD和Intel都有啦
不過AMD的目前早就在BIOS來修正了
之前Intel的也是在BIOS修正...

現在爆出來的是Intel的cache bug去攻擊的
目前防毒軟體沒辦法針對這邊去做修正...
(病毒資料庫之類的目前看起來沒辦法)
只能依賴OS修正或是BIOS修正...



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
yorkhung
鍛鐵驢友
等級: 7等級: 7等級: 7


今日心情

 . 積分: 92
 . 文章: 1126
 . 收花: 434 支
 . 送花: 22 支
 . 比例: 0.05
 . 在線: 1249 小時
 . 瀏覽: 3170 頁
 . 註冊: 8218
 . 失蹤: 1473
 . 美格利合貓國
#7 : 2009-3-19 11:57 PM     只看本作者 引言回覆

既然都已經知道許久了,大概問題在還沒出來前就會先更新吧。


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
leacks
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


十週年紀念徽章(六級)  

今日心情

 . 積分: 854
 . 文章: 3455
 . 收花: 6791 支
 . 送花: 4256 支
 . 比例: 0.63
 . 在線: 4840 小時
 . 瀏覽: 30360 頁
 . 註冊: 7092
 . 失蹤: 1104
#8 : 2009-3-20 09:15 PM     只看本作者 引言回覆

難以更新

而且bios也有bios型的病毒
防止來源還是唯一的解決方法
等到毒發理論上應該是重灌就能解決

難不成cpu斷電後資料還在??



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
jjuui
銅驢友〔中級〕
等級: 9等級: 9等級: 9


今日心情

 . 積分: 138
 . 文章: 576
 . 收花: 601 支
 . 送花: 385 支
 . 比例: 0.64
 . 在線: 3923 小時
 . 瀏覽: 42694 頁
 . 註冊: 8221
 . 失蹤: 0
 . TWed2k-DVD幫
#9 : 2009-3-20 10:08 PM     只看本作者 引言回覆

SMM就小弟我所知,就是SYSTEM MANAGEMENT MODE啦
而CPU要進切到這種模式工作可說是無時無刻都在進行的
通常進OS之後,CPU會經由一種特別的中斷服務 SMI進入這種模式
許許多多的的應用程式,以及一些USB裝置的驅動,都是透過SMI或是SCI來達成的
而進入SMM也不是你高興就行的,基本上進去這個模式太久
WINDWOS可是會送你藍色死機畫面給你看的,OS是有設定一個TIME OUT時間的
不過進SMM基本上OS是沒啥知覺的 Orz
這點到是有可能被拿來利用的



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-12-1 06:25 PM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.030805 second(s), 8 queries , Qzip disabled