英特尔遭遇CPU级RootKit,目前无药可医
2009-03-18 15:49
274 查看
Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。
"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。" Joanna女强人在博客中写道。
本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。
其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。
Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。
它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。
据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说"漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 - 他们实际上是为了帮助我们的社会。"
报告将于19号在此发布:
http://theinvisiblethings.blogspot.com/2009/03/independent-attack-discoveries.html
之前的 SMM 利用原理:
http://wwww.networkworld.com/news/2008/050908-black-hat-hackers-find-a.html?page=1
来源(NetworkWorld)
http://www.networkworld.com/community/node/39825
"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。" Joanna女强人在博客中写道。
本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。
其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。
Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。
它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。
据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说"漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 - 他们实际上是为了帮助我们的社会。"
报告将于19号在此发布:
http://theinvisiblethings.blogspot.com/2009/03/independent-attack-discoveries.html
之前的 SMM 利用原理:
http://wwww.networkworld.com/news/2008/050908-black-hat-hackers-find-a.html?page=1
来源(NetworkWorld)
http://www.networkworld.com/community/node/39825
相关文章推荐
- 英特尔遭遇CPU级RootKit,目前无药可医
- 国产CPU乱战遭遇生态壁垒:英特尔工艺领先龙芯两代
- CPU级RootKit,目前无药可医
- CPU也有远程攻击漏洞 英特尔匆匆修补
- 当在SCOM 2007 SP1环境下遭遇SQLSERVER进程持续占用CPU 100%的解决办法
- 【方向】还以为只做CPU?英特尔明年决定玩这些
- 遭遇RootKit.Vanti.kn、Trojan.PSW.JHOnline.eqo、Trojan.PSW.LMir.ktn等
- 英特尔重定义Hadoop核心:优化CPU
- 遭遇 Svchost.exe 进程占用CPU 100%
- 再议Intel目前的cpu型号,完全版
- 英特尔扬言未来处理器 轻松搞定百核CPU
- 智能玩家必入 Android目前主流CPU详解
- 绕过目前主流的现代Anti-rootkit工具
- ubuntu12.04遭遇rootkit病毒解决办法
- [网站日志]今天早上遭遇的CPU 100%情况
- 遭遇 Svchost.exe 进程占用CPU 100%
- 国产CPU乱战,遭遇生态壁垒
- 英特尔暂停发放CPU补丁, Linux之父怒批“Spectre补丁是彻底的垃圾”
- Intel英特尔历代经典 CPU 产品回顾
- 悉数历史 英特尔历代经典CPU产品回顾