Intel CPU 緩存被暴漏洞,研究報告與 RootKit利用代碼即將出爐。

"3月19日,我們將就Intel CPU 的緩存機(jī)制漏洞,公布一份報告及漏洞利用。相關(guān)攻擊可以在目前大部分IntelCPU的主板上從Ring0提權(quán)至SMM。Rafal在幾個小時內(nèi)就做出了一份漏洞利用代碼。" Joanna女強(qiáng)人在博客中寫道。

本次漏洞利用的致命之處,在于它能將自身隱藏在SMM空間中,SMM權(quán)限高于VMM,設(shè)計(jì)上不受任何操作系統(tǒng)控制、關(guān)閉或禁用。實(shí)際應(yīng)用中唯一能確認(rèn)SMM空間中運(yùn)行代碼的方法只有物理性的分離計(jì)算機(jī)固件。

由于SMI優(yōu)先于任何系統(tǒng)調(diào)用,任何操作系統(tǒng)都無法控制或讀取SMM,使得SMM RootKit有超強(qiáng)的隱匿性。

其厲害程度與之前的BluePill相似,但比VMM攻擊涉及到系統(tǒng)的更深層面。而 SMM自386時代就出現(xiàn)在Intel CPU中。

Joanna 和 Loic 這次將發(fā)布從未公布過的Intel緩沖HACK。

它不但可以控制SMM空間還能運(yùn)行其新型RootKit,控制計(jì)算機(jī)。新的 RootKit 甚至有能力連接服務(wù)器更新代碼,儲存數(shù)據(jù)。運(yùn)行于操作系統(tǒng)中的任何軟件都將無法檢測此類利用。

據(jù) Joanna 說,Intel員工,對Intel的此類 CPU 緩存及SMM漏洞利用的署名討論可以追溯到2005年。她與Loic于去年10月已經(jīng)向Intel正式提交過報告。

Intel將問題通知了CERT并將其歸為漏洞VU#127284號?，F(xiàn)在Intel已經(jīng)知道漏洞的存在好多年了,卻沒有做出應(yīng)有的修正。無奈,安全專家們別無選擇,只能公布他們的發(fā)現(xiàn)。如果此漏洞利用真的已經(jīng)存在數(shù)年,那么一定早已有人開始利用它。

正如Joanna所說"漏洞就在那里,如果足夠長的時間內(nèi)沒人理會,幾乎可以肯定,懷著各種意圖的人們將會發(fā)現(xiàn)它并將之利用,只是遲早的事。所以請不要責(zé)怪研究人員,他們發(fā)現(xiàn)并公布問題 - 他們實(shí)際上是為了幫助我們的社會。"

【編輯推薦】

1. 美女黑客曝英特爾CPU漏洞或引發(fā)全球用戶恐慌
2. 軟件315之Chrome:一個漏洞引發(fā)的猜疑
3. 守護(hù)者也會有漏洞 防火墻不是萬能的
4. 病毒研究員報告：微軟MS09-002漏洞分析
5. PWN2OWN黑客大賽2009到底有哪些猛料？