Schwerwiegende Intel CPU Sicherheitslücke

Opteron

Opteron

Redaktion
☆☆☆☆☆☆
Mitglied seit
13.08.2002
Beiträge
23.645
Renomée
2.254
  • SIMAP Race
  • Spinhenge ESL
  • BOINC Pentathlon 2012
Der Witz an der Sache ist, dass die Lücke erlaubt, Schadprogrammen im Ring 0 (SMM) zu laufen ... damit hat man keine Chance das böse Progrämmchen zu entdecken:
Is your PC currently powned by some hacker ninja using a SMM rootkit? How would you tell? You can't tell!!!!! MUWHAHA!
Zum Vergrößern anklicken....

Genaueres gibts erstmal später:

"Thursday, March 19th, 1600 UTC, we will publish a paper (+ exploits) on exploiting Intel® CPU cache mechanisms. The attack allows for privilege escalation from Ring 0 to the SMM on many recent motherboards with Intel CPUs. Rafal implemented a working exploit with code execution in SMM in a matter of just a few hours."
Zum Vergrößern anklicken....

http://www.networkworld.com/community/node/39825?t51hb

Hier gehts anscheinend um Ähnliches (über google gefunden):
http://www.securityfocus.com/columnists/402

Mal abwarten, was die Leute später noch veröffentlichen.

ciao

Alex
 
Zuletzt bearbeitet:
Sway Dizzle schrieb:
Na ich weiß ja net,aber 2006 ist schon ein Stückchen her. ;)
Zum Vergrößern anklicken....
Bin mir nicht sicher, ob es in dem einen Artikel um den gleichen BUG geht, hab den nur gepostet, weil dort ganz gut Ring 0 und SMM erklärt wird.

Im aktuellem Artikel heißt es dazu:
So why would they release the exploit code to the public you ask. Aren't security researchers supposed to play by the rules and refrain from disclosure? Well here's the thing, both the CPU caching vulnerabilities and the SMM vulnerabilities already have been reported to intel. In fact, according to Joanna "the first mention of the possible attack using caching for compromising SMM has been discussed in certain documents authored as early as the end of 2005 (!) by nobody else than... Intel's own employees." Both Joanna and Loic also officially reported this and other related bugs to Intel. Loic did so back in October 2008.
Zum Vergrößern anklicken....
Also 2005 her 2006 hin .. jetzt ist es 2009 und anscheinend ist nichts passiert.

ciao

Alex
 
dies könnte schlimmer werden als der TLB-Bug der K10 oder ?
 
Theoretisch eine Katastrophe, weil sich das wohl auch so ohne weiteres nicht beheben lässt. Aber Intel weiß schon, wie man da den Ball flachhält.
 
wenn "wir" diesen Fred auf etwa 200 Postings treiben, werden andere Seiten folgen .... sodass der Ball nicht mehr flach sondern über den Mt. Eve spring !
 
Haruspex schrieb:
Das habe ich auf die Schnelle dazu gefunden, ich guck mal, ob ich die Original-Meldung, wo das bekannt wurde, noch finde.
Zum Vergrößern anklicken....
Kam mir auch irgendwie bekannt vor, damals wurde irgendwie abgewiegelt, wenn ich mich richtig erinnere, aber wenn die jetzt den Code dazu veröffentlichen ...

ciao

Alex
 
Opteron schrieb:
Der Witz an der Sache ist, dass die Lücke erlaubt, Schadprogrammen im Ring 0 (SMM) zu laufen ... damit hat man keine Chance das böse Progrämmchen zu entdecken:
...
http://www.networkworld.com/community/node/39825?t51hb

Hier gehts anscheinend um Ähnliches (über google gefunden):
http://www.securityfocus.com/columnists/402 ...
Zum Vergrößern anklicken....
Ich merke mal dazu an, dass die Sicherheitsexpertin Joanna Rutkowska von der Firma Invisiblethingslab.com nicht irgendjemand ist, sondern schon in der Vergangenheit (Stichwort "Blue Pill") manch eine Sicherheitslücke gefunden und Exploits demonstriert hat.

Das macht die Schwachstelle mit der System Management Mode (SMM) tatsächlich brisant. Fragt sich nun, ob es nur Intel, oder doch alle Systeme mit x86-Prozessor + Chipsatz betrifft. Vor kurzem zeigte sie eine Methode, wie Intels La Grande-Sicherheitstechnik alias "Trusted Execution Technology" (TXT) unterwandert werden kann.

Schon in der Vergangenheit setzte sie dort ihre Angriffsmethoden an, die derzeit gerne als zusätzliche Sicherheitstechnik und Sparvehikel beworben werden ... die bislang kaum verstandene Virtualisierung. Ihr Rootkit Blue Pill demonstrierte sie mit AMDs Virtualisierungstechnik Technik Pacifica (AMD-V) und später mit Intels Vanderpool (Intel VT). Solche Lücken werden gerne immer wieder auf der reputierten "Black Hat"-Konferenz vorgestellt.

MFG Bobo(2009)
 
Zuletzt bearbeitet:
starled schrieb:
Alles Verschwörung *suspect*
Zum Vergrößern anklicken....

Jaja, noch belächelt ihr uns Nostalgiker und Retrospinner... der Tag kann aber kommen, wo man nur noch mit altem Schrott sich frei im www bewegen kann und dann werdet ihr euch auch bei uns einreihen... *buck*

Das mir das hier aber bitte nicht in eine Fanboy-Schlammschlacht ausartet (HA-HA, supi, Intel hatts auch mal wieder erwischt ätschbätsch :] )... dafür ist mir das Thema zu interessant und wichtig und würde gerne technisch neutrale Fakten sehen. Danke.
 
Irgendwie auch verdächtig, Web Browser Hack:
http://www.heise.de/newsticker/Pwn2own-Wettbewerb-Safari-IE8-und-Firefox-gehackt--/meldung/134822

Alles mit x86 / Intel wurde gehackt (sogar Win7 mit allen möglichen Schutz Zeugs), nur bei den mobilen Geräten gibts bisher noch nichts:
Etwas enttäuscht zeigt sich der Konferenzveranstalter darüber, dass es bislang keine erfolgreichen Exploits gegen mobile Geräte zu sehen gab.
Zum Vergrößern anklicken....

Die laufen ja (noch) nicht mit Intel ;-)

Ob Zufall oder nicht .. abwarten.

ciao

Alex
 
IVAN_C64 schrieb:
...dafür ist mir das Thema zu interessant und wichtig und würde gerne technisch neutrale Fakten sehen. Danke.
Zum Vergrößern anklicken....
Die gibts laut Ankündigung anscheinend heute um 17 Uhr MEZ, also einfach mal noch 2h warten.

Bin dann nicht da, also bitte Links posten.

ciao

Alex
 
Opteron schrieb:
Kam mir auch irgendwie bekannt vor, damals wurde irgendwie abgewiegelt, wenn ich mich richtig erinnere, aber wenn die jetzt den Code dazu veröffentlichen ...

ciao

Alex
Zum Vergrößern anklicken....

Ich glaube auch. Intel und Kaspersky haben sich damals irgendwie darauf verständigt, Code und weitere Details doch nicht zu veröffentlichen. Vielleicht diente die Ankündigung, Beispiel-Code zu veröffentlichen, damals nur als Druckmittel, um schnelles Handeln seitens Intel zu erzwingen. Wie genau das Problem damals angegangen wurde, weiß ich nicht mehr, und weitere Infos konnte ich bislang auch nicht dazu finden - nur, daß Intel die Schwachstellen wohl geschlossen hat; wohl mittels Microcode-Updates.
 
@Opteron

SMM ist ein Mode bei dem du vollen Zugriff auf alle physikalischen Addressen hast (=kompletter Speicher). Man kommt in diesen Modus nur durch einen physikalischen Interrupt, den "System Management Interrupt". Ein SMI ist so hoch priorisiert das er immer den Prozessor übernimmt (höher als NMI oder jegliche Debug Interrupts)! D.h. sogar ein Hypervisor kann davon unterbrochen werden. So gesehen würde ich SMM eher als Ring -2 bezeichnen!
 
HenryWince schrieb:
D.h. sogar ein Hypervisor kann davon unterbrochen werden. So gesehen würde ich SMM eher als Ring -2 bezeichnen!
Zum Vergrößern anklicken....
Urrks .. Ring -2 ... das hört sich nicht gut an ..

Danke für die Info.

Edit:
Die Finder nennen das auch Ring -2, mittlerweile gibts Paper & Code:
1. Introduction
System Management Mode (SMM) is the most privileged CPU operation mode on x86/x86_64 architectures. It can be thought of as of "Ring -2", as the code executing in SMM has more privileges than even hardware hypervisors (VT), which are colloquially referred to as if operating in "Ring -1". The SMM code lives in a specially protected region of system memory, called SMRAM. The memory controller offers dedicated locks to limit access to SMRAM memory only to system ?rmware (BIOS).
BIOS, after loading the SMM code into SMRAM, can (and should) later "lock down" system con?guration in such a way that no further access, from outside the SMM mode, to SMRAM is possible, even for an OS kernel (or a hypervisor). In this paper we discuss an architectural problem affecting Intel-based systems that allow for unauthorized access to SMRAM. We also discuss how to practically exploit this problem, showing working proof of concept codes that allow for arbitrary SMM code execution. This allows for various kind of abuses of the super-privileged SMM mode, e.g. via SMM rootkits [9].
Zum Vergrößern anklicken....

Hier die Links

Paper:
http://invisiblethingslab.com/resources/misc09/smm_cache_fun.pdf

Code:
http://invisiblethingslab.com/resources/misc09/o68-2.tgz

Quelle:
http://invisiblethingslab.com/itl/Resources.html

ciao

Alex
 
So alt wie das schon ist, und so viele neue Revisionen Intel schon seit dem auf den Markt brachte. Weis überhaupt wer ob das noch aktuell ist?
 
Saulus schrieb:
So alt wie das schon ist, und so viele neue Revisionen Intel schon seit dem auf den Markt brachte. Weis überhaupt wer ob das noch aktuell ist?
Zum Vergrößern anklicken....

Wieso alt? Steht doch in dem Papier, dass es auch immer noch bei recht aktuellen Intel-Plattformen funktioniert...
 
Saulus schrieb:
So alt wie das schon ist, und so viele neue Revisionen Intel schon seit dem auf den Markt brachte. Weis überhaupt wer ob das noch aktuell ist?
Zum Vergrößern anklicken....

Aha! Hat da mal wieder wer eher überflogen statt zu lesen? *glaubses*

;D

Aber auch ich selber muss mir das Paper, ausgeschlafen nochmal reinziehen ;)
 
Warum soll ich mir das ellenlange Blablub durchlesen? Reicht doch wenn das einer macht und das wichtigste hier zusammenfasst.

Lustig wäre es schon wenn sich das Problem nicht beheben lässt und Wellen von Schädlingen kommen die das ausnutzen.
 
sofern AMD nicht betroffen ist würden die und auch die AMD-User sich herzlich amüsieren - und einige Behörden die Intel-only sind würden durchdrehen ...

K10-TLB-Bug - egal; Intel-Ring?-Bug autsch
 

Ähnliche Themen

eratte
News Intel Comet Lake-S mit bis zu 10 Kernen auf LGA1200 vorgestellt. Reviews in Post 1.
4 5 6
Antworten
126
Aufrufe
12K
eratte
eratte
eratte
Download 1usmus Power Plan for AMD Ryzen - New Developments
2
Antworten
25
Aufrufe
7K
Casi030
Casi030
pipin
2019 CES: Intel Advances PC Experience with New Platforms, Technologies and Industry Collaboration
Antworten
0
Aufrufe
734
pipin
pipin
pipin
New Intel Architectures and Technologies Target Expanded Market Opportunities
Antworten
0
Aufrufe
552
pipin
pipin
eratte
Download VirtualBox 6.0.14 (Virtualisierungssoftware) verfügbar.
Antworten
1
Aufrufe
2K
eratte
eratte
Zurück
Oben Unten