Aptiktas Intel procesorių pažeidžiamumas

Džoana Rutkovskaja (Joanna Rutkowska) paviešino informaciją apie Intel procesorių pažeidžiamumą, leidžiantį vykdyti kodą SMM režime su didesnėmis privilegijomis, nei Ring 0 (Ring 0 privilegijos yra aukščiausios privilegijos pasiekiamos tik operacinės sistemos branduoliui – kernel\’iui).

SMM (System Management Mode) – tai specialus, mažai aprašytas dokumentuose Intel procesorių darbo režimas, kuris pirmą kartą pasirodė procesoriuje 386SL. Šiame režime yra sustabdomas normalus kodo vykdymas, ir speciali programinė įranga (paprastai firmware arba debugger\’is su aparatinės įrangos palaikymu) yra vykdoma su aukštomis privilegijomis.

Exploit\’ai naudoja procesoriaus cache atmintį prieigai prie SMRAM – apsaugotos SMM režimo atminties. Iš dviejų pristatytų exploit\’ų vienas daro SMRAM dump (įrašo į failą atminties turinį), o kitas paleidžia kodą SMM režime.

Panaudojus pažeidžiamumą galima sukurti SMM-rootkit\’us (rootkit – tai programa skirta nuslėpti faktą, kad į kompiuterį buvo įsilaužta. Paprastai rootkit\’ai yra naudojami nuslėpti faktui, kad hakeris gavo root teises operacinėje sistemoje) ir/arba operacinės sistemos apsaugos apėjimui. Yra žinoma, kad Intel jau pranešta apie šį pažeidžiamumą – jis jau yra ištaisytas pagrindinėje plokštėje DQ45CB, bet senesni modeliai lieka pažeidžiami.