Programmazione.it v6.4
Ciao, per farti riconoscere devi fare il login. Non ti sei ancora iscritto? Che aspetti, registrati adesso!
Info Pubblicit� Collabora Autori Sottoscrizioni Preferiti Bozze Scheda personale Privacy Archivio Libri Corsi per principianti Forum
Problemi di sicurezza nel System Management Mode dei processori Intel (2/2)
Scritto da Cristina Rovetti il 25-03-2009 ore 10:49
Intel System Studio
Il team che fa capo alla ricercatrice polacca Joanna Rutkowska, gi famosa per il rootkit Blue Pill, ha individuato unulteriore vulnerabilit nel System Management Mode; alcuni mesi fa lo stesso problema stato scoperto anche dal ricercatore francese Loic Duflot, di cui abbiamo gi parlato in precedenti articoli. Al CanSecWest di Vancouver sono stati presentati congiuntamente i risultati delle nuove scoperte, comprensivi del codice di due exploit, uno per modificare il contenuto della SRAM e laltro per lesecuzione di un codice arbitrario, sfruttando la modalit SMM in maniera estremamente insidiosa; un exploit di questo tipo non praticamente rintracciabile da alcun software e risulta quindi altamente pericoloso.

La situazione descritta peggiore rispetto ai pericoli potenziali di un rootkit come Blue Pill: infatti in questo caso lattacco avviene ad un livello hardware ancora pi interno. La scoperta non recente e i ricercatori ne hanno dato notizia ad Intel, per la precisione Loic lo aveva segnalato gi nellottobre 2008; ma gli ingegneri Intel avevano gi scoperto qualcosa di simile nel 2005, sebbene linformazione sia rimasta chiusa nel ristretto ambito dei tecnici e non sia ancora disponibile una valida soluzione.

Lattacco pu avvenire disponendo dei privilegi di amministratore e modificando i registri MTRR per poter sovrascrivere le locazioni di memoria corrispondenti alla SMRAM (ponendola in modalit cacheable Write-Back). Una volta che queste locazioni sono disponili, viene inserito il codice, che potremmo definire bad SMI handler, con le finalit pi disparate. Inducendo un interrupt SMI, levento verr gestito dal nuovo codice, che sar eseguito dalla cache al posto delloriginale SMI handler, con un elevato livello di privilegi e in maniera del tutto oscura al sistema operativo e soprattutto allutente. Da notare che lattacco portato a termine mediante una vera e propria escalation di privilegi, da Ring-3 sino a Ring-0 e SMM.

I ricercatori hanno comunque precisato che questa gi la terza problematica individuata dal loro team nel medesimo settore; quindi non rappresenta nulla di catastrofico, ma evidenzia sostanzialmente linsicurezza nella combinazione di strutture hardware-software, che hanno unampia diffusione come i sistemi Intel-based. La soluzione non ancora cos semplice e immediata, sebbene si possano limitare i danni mediante specifici approcci alla sicurezza che la stessa Rutkowska ha descritto nel suo blog.
Precedente: Nuovo kernel e nuova mascotte per Linux
Successiva: Il mainframe z10 di IBM per i mondi virtuali del futuro
Copyright Programmazione.it™ 1999-2015. Alcuni diritti riservati. Testata giornalistica iscritta col n. 569 presso il Tribunale di Milano in data 14/10/2002. Pagina generata in 0.185 secondi.