POPPUR爱换

标题: 转载，intel的CPU 缓存被暴漏洞！！ [打印本页]

作者: Sirlion 时间: 2009-3-18 16:37
标题: 转载，intel的CPU 缓存被暴漏洞！！
Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。
"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。" Joanna女强人在博客中写道。

本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。

其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。

Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。

它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。

据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说"漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 - 他们实际上是为了帮助我们的社会。"

报告将于19号在此发布：
http://theinvisiblethings.blogsp ... ck-discoveries.html

之前的 SMM 利用原理：
http://wwww.networkworld.com/new ... -find-a.html?page=1

来源（NetworkWorld）
http://www.networkworld.com/community/node/39825

作者: drow 时间: 2009-3-18 16:44
【【此言论被论坛屏蔽】】有【【此言论被论坛屏蔽】】

作者: laban_li 时间: 2009-3-18 17:22
这个要顶一下

如果是真，不知道INTEL对此作何回应

作者: 蛋心 时间: 2009-3-18 19:56
国家搞龙芯是明智的。虽然现在性能不咋滴

作者: toscana119 时间: 2009-3-18 20:51
欢迎阴特尔的小二和马仔来解释一下

作者: boris_lee 时间: 2009-3-18 21:51
本帖最后由 boris_lee 于 2009-3-18 21:52 编辑

这个翻译，甚强大。。。。。

                                                                                                                                                                        Hackers find a new place to hide rootkits


                                                                                                                                                                        Security researchers have developed a new type of malicious rootkit software that hides itself in an obscure part of a computer's microprocessor, hidden from current antivirus products.

Called a System Management Mode (SMM) rootkit, the software runs in a protected part of a computer's memory that can be locked and rendered invisible to the operating system, but which can give attackers a picture of what's happening in a computer's memory.

      The SMM rootkit comes with keylogging and communications software and could be used to steal sensitive information from a victim's computer. It was built by Shawn Embleton and Sherri Sparks, who run an Oviedo, Fla., security company called Clear Hat Consulting.
The proof-of-concept software will be demonstrated publicly for the first time at the Black Hat security conference in Las Vegas this August.

The rootkits used by cyber crooks today are sneaky programs designed to cover up their tracks while they run in order to avoid detection. Rootkits hit the mainstream in late 2005 when
Sony BMG Music used rootkit techniques
to hide its copy protection software. The music company was ultimately forced to recall millions of CDs amid the ensuing scandal.
In recent years, however, researchers have been looking at ways to run rootkits outside of the operating system, where they are much harder to detect. For example, two years ago researcher Joanna Rutkowska introduced a rootkit called Blue Pill, which used AMD's chip-level virtualization technology to hide itself. She said the technology could eventually be used to create "100 percent undetectable malware."
"Rootkits are going more and more toward the hardware," said Sparks, who wrote another rootkit three years ago called Shadow Walker. "The deeper into the system you go, the more power you have and the harder it is to detect you."
Blue Pill took advantage of new virtualization technologies that are now being added to microprocessors, but the SMM rootkit uses a feature that has been around for much longer and can be found in many more machines. SMM dates back to Intel's 386 processors, where it was added as a way to help hardware vendors fix bugs in their products using software. The technology is also used to help manage the computer's power management, taking it into sleep mode, for example.

作者: ahdm 时间: 2009-3-18 21:51
提示: 作者被禁止或删除内容自动屏蔽

作者: cool_exorcist 时间: 2009-3-18 21:55
不过是美帝GOV放置的后门被人发现了而已

作者: kisazhu 时间: 2009-3-18 22:41

国家搞龙芯是明智的。虽然现在性能不咋滴
蛋心发表于 2009-3-18 19:56

你应该用EVD,wapi,通信用狼烟....这些最安全

作者: fredelle 时间: 2009-3-18 22:49
又要开始修修补补了。

作者: itany 时间: 2009-3-19 00:00

欢迎阴特尔的小二和马仔来解释一下
toscana119 发表于 2009-3-18 20:51

请看你的楼下

作者: 蛋心 时间: 2009-3-19 00:06

你应该用EVD,wapi,通信用狼烟....这些最安全
kisazhu 发表于 2009-3-18 22:41

国内就你这种唧唧歪歪的人太多

作者: hyxhhh826 时间: 2009-3-19 00:50
活跃度~啊

作者: 秋风细雨 时间: 2009-3-19 00:52
:sweatingbullets:汗~~~~~~~~有些人到哪都能看到

作者: think 时间: 2009-3-19 09:20
AMD的U也会有的

作者: wylliang 时间: 2009-3-19 09:52
个人用户没必要担心什么，又不是大企业用户，真正的黑客谁没事攻击普通平民百姓的个人电脑。

作者: calvinlu 时间: 2009-3-19 10:00
个人用户不用担心什么吧～～～～～～～～

作者: acqwer 时间: 2009-3-19 10:42

请看你的楼下
itany 发表于 2009-3-19 00:00

你觉的他看得懂英文？

当年他喷IU的罪状之一可是IU会thermal throttle.

作者: try_catch 时间: 2009-3-19 10:45
哎...没有好好学习英文。

作者: flyjacky2888 时间: 2009-3-19 10:53

个人用户没必要担心什么，又不是大企业用户，真正的黑客谁没事攻击普通平民百姓的个人电脑。
wylliang 发表于 2009-3-19 09:52

真的没必要担心？现在所谓的肉鸡好像都是个人用户吧！那些信用卡网银和储蓄账户被盗的都是个人用户吧！那些被盗个人用户资料被用于犯罪，最有要个人用户背黑锅的好像还是个人用户吧。

作者: kisazhu 时间: 2009-3-19 12:51

国内就你这种唧唧歪歪的人太多
蛋心发表于 2009-3-19 00:06

用我的钱,我不该说,都像你那么瓜...

作者: vill911 时间: 2009-3-19 15:06
担心有啥用该用还的用

作者: gjb424 时间: 2009-3-19 15:09
有些人到哪都能看到

作者: lady 时间: 2009-3-19 15:59
提示: 作者被禁止或删除内容自动屏蔽

作者: tansailuffy 时间: 2009-3-19 17:28

个人用户没必要担心什么，又不是大企业用户，真正的黑客谁没事攻击普通平民百姓的个人电脑。
wylliang 发表于 2009-3-19 09:52

难说哦，万一你电脑里有一些个照片，不方便公开的那种，被人发现了就严重了。

作者: xsimba 时间: 2009-3-20 00:27
不懂，高深。

作者: ultraboy 时间: 2009-3-20 00:55

AMD的U也会有的
think 发表于 2009-3-19 09:20

amd的早就有了,利用amd cpu的虚拟化功能,名字很好听,叫bluepill~

作者: ultraboy 时间: 2009-3-20 01:02

这个翻译，甚强大。。。。。

...
boris_lee 发表于 2009-3-18 21:51

翻译哪里有问题?基本上还是正确的,一般的防毒软件是拿这种恶意代码没办法的,一般杀毒软件连ring0都不是,smm的权限比ring0更高..

欢迎光临 POPPUR爱换 (https://we.poppur.com/)