转载，intel的CPU 缓存被暴漏洞！！

Sirlion

Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。
"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。" Joanna女强人在博客中写道。

本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。

其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。

Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。

它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。

据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说"漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 - 他们实际上是为了帮助我们的社会。"



报告将于19号在此发布：
http://theinvisiblethings.blogsp ... ck-discoveries.html

之前的 SMM 利用原理：
http://wwww.networkworld.com/new ... -find-a.html?page=1

来源（NetworkWorld）
http://www.networkworld.com/community/node/39825

drow

【【此言论被论坛屏蔽】】 有【【此言论被论坛屏蔽】】

laban_li

这个要顶一下

如果是真，不知道INTEL对此作何回应

蛋心

国家搞龙芯是明智的。虽然现在性能不咋滴

toscana119

欢迎阴特尔的小二和马仔来解释一下

boris_lee

这个翻译，甚强大。。。。。


                                                                                                                                                                          Hackers find a new place to hide rootkits                                                
                                                                                                                     
   
                                                                                                                                                                           Security researchers have developed a new type of malicious rootkit software that hides itself in an obscure part of a computer's microprocessor, hidden from current antivirus products.

Called a System Management Mode (SMM) rootkit, the software runs in a protected part of a computer's memory that can be locked   and rendered invisible to the operating system, but which can give attackers a picture of what's happening in a computer's   memory.
   
        The SMM rootkit comes with keylogging and communications software and could be used to steal sensitive information from a   victim's computer. It was built by Shawn Embleton and Sherri Sparks, who run an Oviedo, Fla., security company called Clear   Hat Consulting.
The proof-of-concept software will be demonstrated publicly for the first time at the Black Hat security conference in Las Vegas this August.

The rootkits used by cyber crooks today are sneaky programs designed to cover up their tracks while they run in order to avoid   detection. Rootkits hit the mainstream in late 2005 when
Sony BMG Music used rootkit techniques
to hide its copy protection software. The music company was ultimately forced to recall millions of CDs amid the ensuing   scandal.
In recent years, however, researchers have been looking at ways to run rootkits outside of the operating system, where they   are much harder to detect. For example, two years ago researcher Joanna Rutkowska introduced a rootkit called Blue Pill, which used AMD's chip-level virtualization technology to hide itself. She said the technology could eventually be used to create "100 percent undetectable malware."
"Rootkits are going more and more toward the hardware," said Sparks, who wrote another rootkit three years ago called Shadow   Walker. "The deeper into the system you go, the more power you have and the harder it is to detect you."
Blue Pill took advantage of new virtualization technologies that are now being added to microprocessors, but the SMM rootkit   uses a feature that has been around for much longer and can be found in many more machines. SMM dates back to Intel's 386   processors, where it was added as a way to help hardware vendors fix bugs in their products using software. The technology   is also used to help manage the computer's power management, taking it into sleep mode, for example.

cool_exorcist

不过是美帝GOV放置的后门被人发现了而已

kisazhu

国家搞龙芯是明智的。虽然现在性能不咋滴
蛋心 发表于 2009-3-18 19:56

你应该用EVD,wapi,通信用狼烟....这些最安全

fredelle

又要开始修修补补了。

itany

欢迎阴特尔的小二和马仔来解释一下
toscana119 发表于 2009-3-18 20:51

请看你的楼下

蛋心

你应该用EVD,wapi,通信用狼烟....这些最安全
kisazhu 发表于 2009-3-18 22:41

国内就你这种唧唧歪歪的人太多

hyxhhh826

活跃度~啊

秋风细雨

:sweatingbullets:汗~~~~~~~~有些人到哪都能看到

think

AMD的U也会有的

wylliang

个人用户没必要担心什么，又不是大企业用户，真正的黑客谁没事攻击普通平民百姓的个人电脑。

calvinlu

个人用户不用担心什么吧～～～～～～～～

acqwer

请看你的楼下
itany 发表于 2009-3-19 00:00

你觉的他看得懂英文？

当年他喷IU的罪状之一可是IU会thermal throttle.

try_catch

哎...没有好好学习英文。

flyjacky2888

个人用户没必要担心什么，又不是大企业用户，真正的黑客谁没事攻击普通平民百姓的个人电脑。
wylliang 发表于 2009-3-19 09:52

真的没必要担心？现在所谓的肉鸡好像都是个人用户吧！那些信用卡网银和储蓄账户被盗的都是个人用户吧！那些被盗个人用户资料被用于犯罪，最有要个人用户背黑锅的好像还是个人用户吧。