Board logo

主題: [新聞] Intel CPU曝重大安全漏洞隱形攻擊無解 [打印本頁]
發表人: lightwing    時間: 2009-3-19 03:02 PM     主題: Intel CPU曝重大安全漏洞隱形攻擊無解

資料來源
http://news.mydrivers.com/1/130/130393.htm

波蘭知名女性安全專家Joanna Rutkowska日前在博客上表示,她將於當地時間今天發表一篇論文,討論利用Intel CPU緩存機制的漏洞,神不知鬼不覺的侵入PC系統。
而另一位安全研究人員Loic Duflot則會同時在加拿大溫哥華舉行的CanSecWest安全會議上發表演講,介紹該漏洞和攻擊代碼。

據稱,該漏洞廣泛存在於當前的Intel CPU當中,攻擊的目標是CPU的SMM系統管理模式空間。 Intel自從386SL處理器開始,就引入了SMM系統管理模式。
它擁有獨立於操作系統的自由空間,通常主要用於固件更新或硬件Debug。但正是因為這個原因,如果攻擊代碼在SMM空間中運行,任何安全軟件都對它無能為力,因為普通PC的操作系統甚至都無法讀取SMM空間內的內容。

上月的BlackHat安全會議上,Joanna Rutkowska和許多其他安全研究人員探討了這一問題,此後受到啟發,在幾個小時內就編寫出了針對Intel CPU緩存漏洞的SMM Rootkit攻擊代碼。
後來她了解到,Loic Duflot實際上在去年10月就已經將該漏洞報告給了Intel官方,而早在2005年,Intel的開發人員就曾經在論文中提到了這一安全隱患。
在她今晚公佈的論文以及Loic Duflot的演講中,他們就將分別演示這種“最駭人、最隱秘、最危險”的攻擊代碼。

國外之前的報導
http://wwww.networkworld.com/new ... -find-a.html?page=1

===
目前SMM Rootkit攻擊看起來是無解的....
發表人: badcat    時間: 2009-3-19 06:15 PM

看來 Intel 這次是做球給對手 AMD 殺。(狂笑~)
發表人: Kicks    時間: 2009-3-19 06:56 PM

看起來很嚇人
但仔細想想又似乎還好
就算能進到SMM攻擊,但由於CPU是不能斷電儲存的元件,重開機後就消失
再來攻擊代碼也不是無緣無故就會進SMM,在各種傳輸過程中還是有攔截的辦法吧.....

AMD以前有過利用MS的Updata散佈AMD CPU的XP更新檔.....不曉得是不是類似的案例
發表人: lightwing    時間: 2009-3-19 07:32 PM


引用:
Kicks寫到:
看起來很嚇人
但仔細想想又似乎還好
就算能進到SMM攻擊,但由於CPU是不能斷電儲存的元件,重開機後就消失
再來攻擊代碼也不是無緣無故就會進SMM,在各種傳輸過程中還是有攔截的辦法吧.....

怕的就是更改完系統擋你也不知道.....
更改完就不用怕你重開機...

目前的防毒軟體會去偵測封包、RAM、系統更改....等
但是SMM來改,防毒軟體沒辦法檔

目前是希望Intel能想辦法從BIOS或是patch更改,去改掉CPU Cache override的問題...

[lightwing 在  2009-3-19 07:38 PM 作了最後編輯]
發表人: Kicks    時間: 2009-3-19 08:09 PM

進到SMM就沒輒了我能理解
但我想說的是進SMM之前能阻擋吧
攻擊代碼要進入我的電腦應該不外乎是使用病毒的手法
我想最後應會淪為防毒軟體病毒庫的一員

INTEL應該也會出修正,透過BIOS直接過濾是比較好沒錯,但會去更新BIOS的使用者有多少......
像AMD一樣透過MS的Updata針對OS發布修正比較可能
發表人: lightwing    時間: 2009-3-19 10:02 PM


引用:
Kicks寫到:
進到SMM就沒輒了我能理解
但我想說的是進SMM之前能阻擋吧
攻擊代碼要進入我的電腦應該不外乎是使用病毒的手法
我想最後應會淪為防毒軟體病毒庫的一員

INTEL應該也會出修正,透過BIOS直接過濾是比較好沒錯,但會去更新BIOS的使用者有多少......
像AMD一樣透過MS的Updata針對OS發布修正比較可能

SMM Rootkit嚴格來說AMD和Intel都有啦
不過AMD的目前早就在BIOS來修正了
之前Intel的也是在BIOS修正...

現在爆出來的是Intel的cache bug去攻擊的
目前防毒軟體沒辦法針對這邊去做修正...
(病毒資料庫之類的目前看起來沒辦法)
只能依賴OS修正或是BIOS修正...
發表人: yorkhung    時間: 2009-3-19 11:57 PM

既然都已經知道許久了,大概問題在還沒出來前就會先更新吧。
發表人: leacks    時間: 2009-3-20 09:15 PM

難以更新

而且bios也有bios型的病毒
防止來源還是唯一的解決方法
等到毒發理論上應該是重灌就能解決

難不成cpu斷電後資料還在??
發表人: jjuui    時間: 2009-3-20 10:08 PM

SMM就小弟我所知,就是SYSTEM MANAGEMENT MODE啦
而CPU要進切到這種模式工作可說是無時無刻都在進行的
通常進OS之後,CPU會經由一種特別的中斷服務 SMI進入這種模式
許許多多的的應用程式,以及一些USB裝置的驅動,都是透過SMI或是SCI來達成的
而進入SMM也不是你高興就行的,基本上進去這個模式太久
WINDWOS可是會送你藍色死機畫面給你看的,OS是有設定一個TIME OUT時間的
不過進SMM基本上OS是沒啥知覺的 Orz
這點到是有可能被拿來利用的



歡迎光臨 TWed2k (http://twed2k.org/) Powered by Discuz! 4.1.0