Nieuws
image

Miljoenen PC's kwetsbaar door Intel processor lek

dinsdag 11 april 2006, 16:58 door Redactie, 13 reacties

Computers met een Intel processor kunnen dankzij een lek in de CPU door een hacker worden overgenomen. Ongebruikte, legacy of routine functies kunnen gebruikt worden om de beveiligingsmaatregelen van het besturingssysteem te omzeilen, aldus onderzoeker Loïc Duflot. Het lek is aanwezig in elke computer die van de x86 architectuur gebruik maakt.

Pentium computers draaien meestal in Beschermde Mode, de 32-bit omgeving waar het besturingssysteem en applicaties zich bevinden. Als er condities plaatsvinden die het moederbord kunnen beschadigen, zoals oververhitting van de processor, dan grijpt de computer in en wordt de Beschermde Mode onderbroken. De computer schakelt dan over op de System Management Mode, een 16-bit omgeving die code in het System Management RAM (SMRAM) laadt om het probleem op te vangen. Als de code weer draait, wordt er van de System Management overgeschakeld naar de Beschermde Mode.

Aanvallers kunnen een computer overnemen door de werking te ontregelen zodat er wordt overgeschakeld naar de System Management Mode. Daar kan men toegang tot het SMRAM krijgen en de standaard software vervangen door willekeurige code zodat men volledige toegang op het systeem krijgt, zo liet Duflot tijdens de CanSecWest conferentie in Vancouver weten.

Reacties (13)
11-04-2006, 17:59 door [Account Verwijderd]
[Verwijderd]
11-04-2006, 17:59 door [Account Verwijderd]
[Verwijderd]
11-04-2006, 21:15 door Anonl3m
Dus met een AMD64 en WINXP ben je veilig? Sh*t, dan moet
Linux er af!
11-04-2006, 21:38 door M3ph
Ik wist het wel, microsoft is veel veiliger! :P
11-04-2006, 23:24 door G-Force
Mijn PC heeft een AMD Sempron 2800+. Is er iemand die weet of deze
processor ook kwetsbaar is?

Reacties van processor deskundigen zijn welkom.
12-04-2006, 08:17 door Anoniem
Mijn PC heeft een AMD Sempron 2800+. Is er iemand die weet of deze
processor ook kwetsbaar is?

** Computers met een Intel processor **

Wat zou je zelf denken ??
12-04-2006, 08:49 door SirDice
AMD processoren (de Intel Pentium klonen zeg maar) zijn net zo vatbaar..

AMD64 is me niet helemaal duidelijk.. Ik vermoed van wel aangezien die ook een SMM heeft.

IA-64 (Itanium) heeft Platform Management wat backward compatible is met SMM. Dus ook die is, net als de AMD64, waarschijnlijk vatbaar..

Door Clarence322
Kortom: persoonlijk vind ik dit wel erg ver gezocht...
Een buffer overflow of een format string exploit was vroeger ook ver gezocht. Net als rootkits.. Nu is het "normaal"..

Door Anonl3m
Dus met een AMD64 en WINXP ben je veilig?
Nee, AMD64 heeft ook SMM.. En op XP is het onbekend of het misbruikt kan worden. Misschien moeten daar wel wat extra truken voor gedaan worden om het zover te krijgen. Reken er maar op dat daar nu hard naar gezocht wordt.
12-04-2006, 10:09 door Anonl3m
Door Anonl3m
Dus met een AMD64 en WINXP ben je veilig?
Nee, AMD64 heeft ook SMM.. En op XP is het onbekend
of het misbruikt kan worden. Misschien moeten daar wel wat
extra truken voor gedaan worden om het zover te krijgen.
Reken er maar op dat daar nu hard naar gezocht wordt.
Gelukkig heb ik nog een DEC Alpha staan - met RedHat6.1 ;-)
12-04-2006, 10:53 door SirDice
Nu weet ik niet zo gek veel van de Alpha architectuur maar
als ik even snel door de Hardware Reference Manual kijk dan
zie ik zoiets als PALmode..

PALcode can be invoked by the following events:
• Reset
System hardware exceptions (MCHK, ARITH)
• Memory-management exceptions
• Interrupts
• CALL_PAL instructions

Lijkt me dus ook daar mogelijk..
12-04-2006, 20:56 door G-Force
Leuk, maar in concreto betekent dit dat eerst de processor opzettelijk
oververhit moet worden gemaakt om een aanval op de processor uit te
voeren. Ik beweer niet dat dit de enige aanvalsmethode is, maar ik heb wel
enige "vermoedens" gekregen hoe je dit bereiken moet.

Overingens geef ik SirDice wel gelijk. Het is zeker niet juist om de zaak te
bagatelliseren. Flahing van het BIOS werd vroeger ook voor onmogelijk
gehouden, totdat er een computervirus opdook die precies dat ook deed:
flashing van het BIOS...met alle gevolgen van dien.
13-04-2006, 12:34 door [Account Verwijderd]
[Verwijderd]
13-04-2006, 15:09 door Anoniem
Hou er wel rekening mee dat maar een iemand het moet
uitwerken en het hoeft te publiceren...

Het is net als met copy-protection. Je kan het nog zo goed
maken, maar het hoeft maar door 1 persoon gekraakt te worden
die vervolgens simpele instructies of code publiceert.
13-04-2006, 21:48 door Anoniem
Door Clarence322
De reden dat ik dit ver gezocht vind is dat juist dit
truukje veel verder gaat dan in een OS. Je moet echt in
assembly wat maken dat ver buiten de API's geprogrammeerd
wordt en direct op de hardware werkt..
Dat lijkt me toch ongeveer dezelfde werking als met een
buffer overflow. Dan wordt er ook assembly geinjecteerd.
En vermits er al een demo gegeven is is het helemaal niet
vergezocht :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search