Linux für Cache Poisoning einfacher angreifbar als Windows? [Update]
Ein anonymer Sicherheitsexperte erklärt im Microsoft Subnet Blog, dass ein kürzlich vorgestellter Angriff auf Intels System Management Mode unter Linux um ein Vielfaches einfacher durchzuführen sei als unter Windows.
- Ute Roos
Erst im März hatte die polnische Rootkit-Expertin Joanna Rutkowska den in ihrem Blog angekündigten Angriff auf Intels System Management Mode via Cache Poisoning im Detail vorgestellt (PDF). Nun meldet sich im Microsoft Subnet Blog ein Sicherheitsexperte dazu zu Wort, der anonym bleiben möchte.
Er sei überrascht, wie einfach der Angriff durchzuführen sei, der Exploit Code sei weder besonders ausgefallen noch komplex, so der Blogger. Ziel des Angriffs sei, via Modifikation des Memory Type Range Register (MTRR) Zugriff auf den normalerweise gut gesicherten Speicherbereich des System Management Mode zu erlangen und dort ein Rootkit zu platzieren, das dem Angreifer die Kontrolle über den Hypervisor oder das Betriebssystem verschafft. Zur Ausführung des Angriffs werden allerdings Root-Rechte benötigt.
Der veröffentlichte Beispiel-Code ist für ein Linux-Betriebssystem mit einem Intel DQ35 Motherboard mit 2GByte RAM geschrieben. Es zeigt sich, dass Linux dem Root-Benutzer erstaunlich einfach Zugriff auf das Memory Type Range Register erlaubt. Zwar, so schlussfolgert der Blogger, könne man diesen Angriff auch unter Windows durchführen, er erfordere aber weitaus mehr Aufwand und Know-how.
[Update]:
Laut Aussagen von Intel sollen die jüngsten Motherboards (etwa DQ45) nicht mehr auf diese Art angreifbar sein. Die Forschungsergebnisse von Rutkowska enthalten keine Aussagen darüber, welche Motherboards außer DQ35 betroffen sind und wie es um die Konkurrenzprodukte von AMD steht.
(ur)
