Le CPU Intel sono bucate da anni, ma nessuno fa nulla

Due esperti di sicurezza (Loic Duflot e Joanna Rutkowska) hanno sviluppato un nuovo tipo di rootkit, che riesce a nascondersi in una zona oscura della memoria di un PC, al riparo dai programmi antivirus esso incorpora funzionalità di keylogging e software di comunicazione (riuscirebe quindi a rubare informazioni sensibili dalla macchina di un utente ignaro).
Il rootkit sfrutta una grave vulnerabilità (riscontrata fin dal 2005) nel sistema di gestione della cache delle Cpu Intel e del problema sono affetti anche sistemi molto recenti.
I due ricercatori presenteranno al pubblico a Vancouver un attacco vero e proprio.
Spiega Joanna Rutkowska: “Dimostreremo che questo attacco consente la scalata dei privilegi dal Ring 0 al SMM su molte schede madri recenti dotate di Cpu Intel”, questo per mettere in guardia sulla possibilità che, sfruttando questa grave falla, possano venir creati dei rootkit molto efficaci e particolarmente difficili da individuare.

L’azione dei due esperti di fatto, riprende e porta avanti le conseguenze dell’annuncio (fatto l’anno scorso), durante la Black Hat Conference, su come il System Management Mode delle Cpu Intel possa essere sfruttato per nascondere malware, mostrando praticamente anche questo nuovo attacco (di nuovo tipo rispetto a quello presentato nell’ultima volta).

La presentazione al pubblico di questa vulnerabilità ha suscitato diverse polemiche, specialmente da parte di chi ritiene che questo genere di informazioni debbano essere tenute riservate e segrete.
A questo però la Rutkowska risponde che le prime discussioni su un attacco del genere risalgono al 2005 (ed erano note soltanto ai dipendenti di Intel). Successivamente però alcuni ricercatori indipendenti hanno scoperto il bug e l’hanno segnalato alla società, ma nonostante tutto, sforzi per risolvere il problema (in ben 4 anni) non si sono ancora visti.

Per questo motivo che anche gli hacker della CanSecWest vogliono mostrare questa grave vulnerabilità al grande pubblico: per sottolineare come, anche se Intel non ha diffuso la notizia quattro anni fa, il bug sia stato comunque scoperto e che è necessario provvedere in fretta alla sua risoluzione prima che qualche malintenzionato lo possa sfruttare a fini impropri e dannosi.

Intel ha, di contro, già fatto sapere di aver risolto il problema solo su alcuni sistemi; per esempio la scheda DQ45CB (anche a detta della Rutkowska) non è vulnerabile, mentre invece soffre del problema il modello DQ35.

– Alcune precisazioni sui rootkit –

I rootkit hanno avuto un picco di notorietà nel tardo 2005, quando si scoprì che Sony BMG Music usava una simile tecnica per nascondere il suo software di protezione dalle copie illegali. Questi malware di fatto, riescono a beffare gli antivirus (anche molti programmi anti-rootkit non sono efficaci) perché essi si annidano nel sistema operativo stesso, intercettando le chiamate di sistema.
La tecnica usata invece dai due ricercatori citati è diversa e si basa sul System Management Mode (SMM), presente fin già dalle prime CPU Intel 386 (ereditato poi da tutte le successive architetture su base x86).

In questa modalità operativa (introdotta da Intel per i produttori hardware), il codice viene eseguito senza il controllo del sistema operativo e con tutti i massimi privilegi a disposizione. Dato che l’SMM è conosciuto da tempo, qualcuno aveva già pensato di sfruttarlo e Loic Duflot, nel 2006, aveva già dimostrato la possibilità di utilizzarlo a scopi malevoli.

La tendenza attuale dei rootkit sembra però di muoversi più verso l’hardware, cercando di sganciarsi completamente dal Sistema Operativo rwesidente: un esempio è Blue Pill di Joanna Rutkowska, che si basa sulla tecnologia di virtualizzazione delle CPU AMD.
Secondo John Heasman, direttore della ricerca alla NGS Software, il nuovo rootkit SMM potrebbe essere potenzialmente non rilevabile da alcun antivirus. Però, il fatto di essere così legato all’hardware ne impedirebbe la diffusione su larga scala e lo si potrà vedere all’opera solo in casi di attacchi mirati.

Shawn Embleton e Sherri Sparks (già coautore di Shadow Walker), entrambi della Clear Hat Consulting, invece presenteranno il loro rootkit alla prossima Black Hat conference, che si terrà a Las Vegas dal 6 al 7 agosto prossimi.

Vedi altri articoli attinenti e correlati sempre da questo blog
Il pericolo dei rootkit