News-Meldung vom 20.03.2009 13:15 Uhr
Parallel veröffentlichten Joanna Rutkowska und Loic Duflot Details über Schwachstellen in Intels Caching-Mechanismen. Sie erlauben es, Code in den System Management Mode einzuschleusen und in letzter Konsequenz dort ein nahezu unsichtbares Rootkit zu platzieren.
"System Management Mode (SMM) ist ein recht obskurer Modus mit Low-Level-Hardware-Kontrolle auf Intel-Prozessoren", erklären Embleton, Sparks und Zou in ihrem lesenswerten Paper zu SMM-Rootkits. Er hat seinen eigenen Speicherbereich, das sogenannte SMRAM, und eine Umgebung, um Code auszuführen, die im Allgemeinen unsichtbar für herkömmliche Code außerhalb des SMM ist. Doch indem sie den Cache der CPU vergiftet, gelingt es Rutkowska dort eigenen Code einzuschleusen, der dann mit allerhöchsten Privilegien läuft, aber dabei für Betriebssystem und Applikationen unsichtbar bleibt.
Die Rootkit-Expertin stellt einen harmlosen Proof-of-Concept-Exploit bereit, der unter anderem auf Intels Board DQ35 funktionieren soll. Wie ein echter SMM-Rootkit aussehen könnte, demonstrierten bereits Embleton, Sparks und Zou. Über Duflots Präsentation auf der CansecWest ist bislang nicht viel mehr als der Titel "Getting into the SMRAM: SMM Reloaded" bekannt.
Trotz der weitreichenden Konsequenzen solcher SMM-Rootkits ist jedoch keine Panik angezeigt. Bislang sind zum Glück nur theoretische Konzepte und einige Konzeptstudien für Laborumgebungen bekannt. In freier Wildbahn als Teil von Schad-Software wurde noch nichts derartiges gesichtet.
Siehe dazu auch
(ju)
Version zum Drucken Per E-Mail versenden Newsletter abonnieren
Permalink: http://heise.de/-208185
iOS, Android, Windows Phone 7 und HTML5 - das neue Sonderheft von heise Developer führt Einsteiger und Profis in die Programmierung mobiler Geräte ein.
