Angriffe auf Intels System Management Mode
Durch Vergiften des Prozessor-Caches kann man Code in das SMRAM einschleusen - und dort beispielsweise ein Rootkit platzieren, das fĂĽr Betriebssystem und Applikationen unsichtbar ist.
Parallel veröffentlichten Joanna Rutkowska und Loic Duflot Details über Schwachstellen in Intels Caching-Mechanismen. Sie erlauben es, Code in den System Management Mode einzuschleusen und in letzter Konsequenz dort ein nahezu unsichtbares Rootkit zu platzieren.
"System Management Mode (SMM) ist ein recht obskurer Modus mit Low-Level-Hardware-Kontrolle auf Intel-Prozessoren", erklären Embleton, Sparks und Zou in ihrem lesenswerten Paper zu SMM-Rootkits. Er hat seinen eigenen Speicherbereich, das sogenannte SMRAM, und eine Umgebung, um Code auszuführen, die im Allgemeinen unsichtbar für herkömmliche Code außerhalb des SMM ist. Doch indem sie den Cache der CPU vergiftet, gelingt es Rutkowska dort eigenen Code einzuschleusen, der dann mit allerhöchsten Privilegien läuft, aber dabei für Betriebssystem und Applikationen unsichtbar bleibt.
Die Rootkit-Expertin stellt einen harmlosen Proof-of-Concept-Exploit bereit, der unter anderem auf Intels Board DQ35 funktionieren soll. Wie ein echter SMM-Rootkit aussehen könnte, demonstrierten bereits Embleton, Sparks und Zou. Über Duflots Präsentation auf der CansecWest ist bislang nicht viel mehr als der Titel "Getting into the SMRAM: SMM Reloaded" bekannt.
Trotz der weitreichenden Konsequenzen solcher SMM-Rootkits ist jedoch keine Panik angezeigt. Bislang sind zum GlĂĽck nur theoretische Konzepte und einige Konzeptstudien fĂĽr Laborumgebungen bekannt. In freier Wildbahn als Teil von Schad-Software wurde noch nichts derartiges gesichtet.
Siehe dazu auch
- Attacking SMM Memory via Intel CPU Cache Poisoning von Joanna Rutkowska
- SMM Rootkits: A New Breed of OS Independent Malware, Shawn Embleton, Sherri Sparks und Cliff Zou von der University of Central Florida
(ju)
