Il team che fa capo alla ricercatrice polacca Joanna Rutkowska, già famosa per il rootkit Blue Pill, ha individuato un’ulteriore vulnerabilità nel System Management Mode; alcuni mesi fa lo stesso problema è stato scoperto anche dal ricercatore francese Loic Duflot, di cui abbiamo già parlato in precedenti articoli. Al CanSecWest di Vancouver sono stati presentati congiuntamente i risultati delle nuove scoperte, comprensivi del codice di due exploit, uno per modificare il contenuto della SRAM e l’altro per l’esecuzione di un codice arbitrario, sfruttando la modalità SMM in maniera estremamente insidiosa; un exploit di questo tipo non è praticamente rintracciabile da alcun software e risulta quindi altamente pericoloso.

La situazione descritta è peggiore rispetto ai pericoli potenziali di un rootkit come Blue Pill: infatti in questo caso l’attacco avviene ad un livello hardware ancora più interno. La scoperta non è recente e i ricercatori ne hanno dato notizia ad Intel, per la precisione Loic lo aveva segnalato già nell’ottobre 2008; ma gli ingegneri Intel avevano già scoperto qualcosa di simile nel 2005, sebbene l’informazione sia rimasta chiusa nel ristretto ambito dei tecnici e non sia ancora disponibile una valida soluzione.

L’attacco può avvenire disponendo dei privilegi di amministratore e modificando i registri MTRR per poter sovrascrivere le locazioni di memoria corrispondenti alla SMRAM (ponendola in modalità cacheable Write-Back). Una volta che queste locazioni sono disponili, viene inserito il codice, che potremmo definire bad SMI handler, con le finalità più disparate. Inducendo un interrupt SMI, l’evento verrà gestito dal nuovo codice, che sarà eseguito dalla cache al posto dell’originale SMI handler, con un elevato livello di privilegi e in maniera del tutto oscura al sistema operativo e soprattutto all’utente. Da notare che l’attacco è portato a termine mediante una vera e propria escalation di privilegi, da Ring-3 sino a Ring-0 e SMM.

I ricercatori hanno comunque precisato che questa è già la terza problematica individuata dal loro team nel medesimo settore; quindi non rappresenta nulla di catastrofico, ma evidenzia sostanzialmente l’insicurezza nella combinazione di strutture hardware-software, che hanno un’ampia diffusione come i sistemi Intel-based. La soluzione non è ancora così semplice e immediata, sebbene si possano limitare i danni mediante specifici approcci alla sicurezza che la stessa Rutkowska ha descritto nel suo blog.

• Pubblicazioni correlate:
• 24-03-2009 Problemi di sicurezza nel System Management Mode dei processori Intel (1/2)