超级军网ZT:英特尔遭遇CPU级RootKit,目前无药可医
来源:百度文库 编辑:超级军网 时间:2024/04/29 12:35:52
Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。
"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。" Joanna女强人在博客中写道。
本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。
其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。
Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。
它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。
据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说"漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 - 他们实际上是为了帮助我们的社会。"
报告将于19号在此发布:
http://theinvisiblethings.blogsp ... ck-discoveries.html
之前的 SMM 利用原理:
http://wwww.networkworld.com/new ... -find-a.html?page=1
来源(NetworkWorld)
http://www.networkworld.com/community/node/39825Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。
"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。" Joanna女强人在博客中写道。
本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。
其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。
Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。
它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。
据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说"漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 - 他们实际上是为了帮助我们的社会。"
报告将于19号在此发布:
http://theinvisiblethings.blogsp ... ck-discoveries.html
之前的 SMM 利用原理:
http://wwww.networkworld.com/new ... -find-a.html?page=1
来源(NetworkWorld)
http://www.networkworld.com/community/node/39825
"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。" Joanna女强人在博客中写道。
本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。
其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。
Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。
它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。
据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说"漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 - 他们实际上是为了帮助我们的社会。"
报告将于19号在此发布:
http://theinvisiblethings.blogsp ... ck-discoveries.html
之前的 SMM 利用原理:
http://wwww.networkworld.com/new ... -find-a.html?page=1
来源(NetworkWorld)
http://www.networkworld.com/community/node/39825Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。
"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。" Joanna女强人在博客中写道。
本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。
其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。
Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。
它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。
据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说"漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 - 他们实际上是为了帮助我们的社会。"
报告将于19号在此发布:
http://theinvisiblethings.blogsp ... ck-discoveries.html
之前的 SMM 利用原理:
http://wwww.networkworld.com/new ... -find-a.html?page=1
来源(NetworkWorld)
http://www.networkworld.com/community/node/39825
]]
SMM本来就是设计来对操作系统透明的。不然象ACPI之类的东西就难实现了。这里也不存在什么“SMM逻辑设计中留下这么大的缺陷”,本来进入RING0你就可以做(几乎-在VT以后)任何事情了。
所以说,美国政府邪恶啊;P
一直用AMD的东西 ·
;P ;P 某些不是大叫,用美国芯片不会出问题的吗??
嗯,只有Intel出口的cpu才有这个bug
美国人自己用的都没有这个问题。
只有美国CIA和国防部才能利用这个bug。美帝实在是太邪恶了。强烈要求中国国家安全局和公安部联合下文,物理拆除中国国内所有由美国设计的芯片。
AMD与Intel拥有N多交叉授权,一样邪恶,一样要拆:@
美国人自己用的都没有这个问题。
只有美国CIA和国防部才能利用这个bug。美帝实在是太邪恶了。强烈要求中国国家安全局和公安部联合下文,物理拆除中国国内所有由美国设计的芯片。
AMD与Intel拥有N多交叉授权,一样邪恶,一样要拆:@
原帖由 chinayx 于 2009-3-20 17:52 发表
嗯,只有Intel出口的cpu才有这个bug
美国人自己用的都没有这个问题。
只有美国CIA和国防部才能利用这个bug。美帝实在是太邪恶了。强烈要求中国国家安全局和公安部联合下文,物理拆除中国国内所有由美国设计的芯片 ...
=============是啊!!!所以以后请某些人不要说国产CPU没有存在的意思了.;P
某些不是大叫,用美国芯片不会出问题的吗??
原帖由 chinayx 于 2009-3-20 17:52 发表
嗯,只有Intel出口的cpu才有这个bug
美国人自己用的都没有这个问题。
只有美国CIA和国防部才能利用这个bug。美帝实在是太邪恶了。强烈要求中国国家安全局和公安部联合下文,物理拆除中国国内所有由美国设计的芯片 ...
反语? :o U虽然可能一样,不过一个早知道作弊bug,一个天真可爱。。。这玩起游戏来,就不一样了。。。
Ie8发布了,然而21世纪已经快十年了,中文版的Ie加密仍然是128bit,这一切都得“感谢”美帝~
看来自己的CPU再烂,关键时刻还是得靠谱啊!
中文版的Ie加密仍然是128bit,这一切都得“感谢”美帝~
==========================================
自有电脑以来美国人给中国人用的加密都要低美国的一代. 只有天真可爱那种人才会把性价比天天放咀上.;P
==========================================
自有电脑以来美国人给中国人用的加密都要低美国的一代. 只有天真可爱那种人才会把性价比天天放咀上.;P
一个程序进入了ring0, 把操作系统干掉也很正常.
发现就发现了嘛,万一龙芯也有bug呢?虽然我十分不想它有bug……
支持国产,现在用的AMD的CUP,AMD的芯片组,AMD的显卡……
支持国产,现在用的AMD的CUP,AMD的芯片组,AMD的显卡……