Известная польская исследовательница в области компьютерной безопасности Жанна Рутковская (Joanna Rutkowska) опубликовала (http://theinvisiblethings.blogspot.com/2009/03/attacking-smm... подробности, касающиеся новой уязвимости в процессорах Intel, позволяющей на многих современных материнских платах через манипуляции с кешем получить полный доступ к данным SMRAM, защищенной области памяти режима System Management Mode (http://en.wikipedia.org/wiki/System_Management_Mode) (SMM). Реализованы два рабочих эксплоита: один для получения полного дампа SMRAM, а второй для выполнения кода в режиме SMM, более привилегированного, чем код выполняющийся в нулевом кольце защиты (Ring 0).
С практической точки зрения, данную уязвимость можно использовать для создания неуязвимых SMM руткитов (невозможно обнаружить и удалить), компрометирования работы гипервизоров виртуальных машин и обхода механизма защиты операционных систем.URL: http://theinvisiblethings.blogspot.com/2009/03/attacking-smm...
Новость: http://www.opennet.dev/opennews/art.shtml?num=20853
Прямо не Рутковская, а Руткитская... И что же, это начиная с 8086, или только в Core2Duo, где, торопясь обогнать конкурентов, сделали много ошибок?
>Прямо не Рутковская, а Руткитская... И что же, это начиная с 8086,
>или только в Core2Duo, где, торопясь обогнать конкурентов, сделали много ошибок?SMM существует с времен кажется, i386.Малодокументированный и дефолтный обработчик - где-то в биосе закопан.При том я нигде не видел внятного описания чем SMM в реальных биосах занимается - при желании он вполне может быть например ОСонезависимым черным ходом для большого брата или чем там еще - ну AWARD_SW был же, почему б не быть и еще чему ;).Как по мне так я от самого факта наличия SMM как-то не в восторге.Если такое есть - оно должно быть документировано.Предельно четко.А обработчик SMM должен быть доступен для замены и должно быть документировано чем занимается дефолтный.Такое вот интельское железо - с двойным дном.
SMM это один из режимов работы процессора, как защищённый или реальный, он активируется по внешнему прерыванию, он документирован нужно только скачать документацию с сайта intel
>SMM это один из режимов работы процессора, как защищённый или реальный, он
>активируется по внешнему прерыванию, он документирован...кроме самого обработчика, собственно... :-).Операционка запускаясь на энном железе вообще не знает есть оно или нет, чем оно будет заниматься и так далее.Как я понимаю обычно этот обработчик если он есть - вшит в недра BIOS и чем он там занимается, при каких условиях может дергаться и так далее - а черт бы его знает: а где докуентация то на обработчик и на условия при которых железо может дернуть этот пин?
>нужно только скачать документацию с сайта intel
А там не говорится чем конкретно на моей системе будет заниматься обработчик SMM, при каких условиях он может врубиться и прочая.Я плохо искал документацию или ее такой попросту...нету?
Вопрос: с чего вдруг я должен тогда доверять всей этой стремной системной механике с двойным дном?Благими намерениями... идея может и неплохая но вот реализация почему-то получается мутной.Проприетарной и недокументированной по факту.Двойное дно, однако. И где гарантии что у биосоклепателей нет бэкдоров например?А то у понятно какой конторы например был волшебный универсальный пароль на все биосы - AWARD_SW.Я например с его помощью успешно забил на пароли нескольких bios в свое время к большому удивлению админов :)
Слышал звон.
>Слышал звон.ты-то и звона не слышал
http://www.intel.com/design/pentiumii/manuals/243192.htmSystem management mode (SMM). The system management mode (SMM) is a standard
architectural feature in all Intel Architecture processors, beginning with the Intel386TM SL
processor. This mode provides an operating system or executive with a transparent
mechanism for implementing power management and OEM differentiation features. SMM
is entered through activation of an external system interrupt pin (SMI#),
>Слышал звон.12.4.2. SMRAM Caching
An Intel Architecture processor supporting SMM does not unconditionally write back and inval-
idate its cache before entering SMM. Therefore, if SMRAM is in a location that is “shadowed”
by any existing system memory that is visible to the application or operating system, then it is
necessary for the system to flush the cache upon entering SMM. This may be accomplished by
asserting the FLUSH# pin at the same time as the request to enter SMM. The priorities of the
FLUSH# pin and the SMI# are such that the FLUSH# will be serviced first. To guarantee this
behavior, the processor requires that the following constraints on the interaction of SMI# and
FLUSH# be met.
In a system where the FLUSH# pin and SMI# pins are synchronous and the set up and hold times
are met, then the FLUSH# and SMI# pins may be asserted in the same clock. In asynchronous
systems, the FLUSH# pin must be asserted at least one clock before the SMI# pin to guarantee
that the FLUSH# pin is serviced first. Note that in Pentium® processor systems that use the
FLUSH# pin to write back and invalidate cache contents before entering SMM, the processor
will prefetch at least one cache line in between when the Flush Acknowledge cycle is run, and
the subsequent recognition of SMI# and the assertion of SMIACT#. It is the obligation of the
system to ensure that these lines are not cached by returning KEN# inactive to the Pentium®
processor.
12-7
SYSTEM MANAGEMENT MODE (SMM)
Intel Architecture processors do not write back or invalidate their internal caches upon leaving
SMM. For this reason, references to the SMRAM area must not be cached if any part of the
SMRAM shadows (overlays) non-SMRAM memory; that is, system DRAM or video RAM. It
is the obligation of the system to ensure that all memory references to overlapped areas are
uncached; that is, the KEN# pin is sampled inactive during all references to the SMRAM area
for the Pentium® processor. The WBINVD instruction should be used to ensure cache coherency
at the end of a cached SMM execution in systems that have a protected SMM memory region
provided by the chipset.
>Therefore, if SMRAM is in a location that is “shadowed”
>by any existing system memory that is visible to the application or operating system, then it is
>necessary for the system to flush the cache upon entering SMM. This may be accomplished by
>asserting the FLUSH# pin at the same time as the request to enter SMM.видимо система SMM дёргает не редко и если сбрасывать кэш, то производительность упадёт и видимо производители на это забили...
никто не хочет под виртуальную машину эксплой проверить?
>>Therefore, if SMRAM is in a location that is “shadowed”
>>by any existing system memory that is visible to the application or operating system, then it is
>>necessary for the system to flush the cache upon entering SMM. This may be accomplished by
>>asserting the FLUSH# pin at the same time as the request to enter SMM.
>
>видимо система SMM дёргает не редко и если сбрасывать кэш, то производительность
>упадёт и видимо производители на это забили...
>
>никто не хочет под виртуальную машину эксплой проверить?Подскажите мне, ленивому, где взять эксплойт ? (мыл pavel2000@ngs.ru)
Есть машинка на Intel DQ35JOE c ксенами, попробовал бы.
http://invisiblethingslab.com/itl/Resources.html
там есть статья и код, это конечно не полезный эксплойт, но можешь shelcode.s подправить
нужен линукс
>При том я нигде не видел внятного описания чем SMM в реальных биосах занимается...
system safety functions, such as shutdown on high CPU temperature.
...
power management operations, such as turning on fans.
...
to emulate a PS/2 mouse or keyboard from a USB one.
...
to run high-privileged rootkits ... (Бугога (;,;))(c) Wikipedia.
>Прямо не Рутковская, а Руткитская... И что же, это начиная с 8086,
>или только в Core2Duo, где, торопясь обогнать конкурентов, сделали много ошибок?Сама архитектура x86 - это и есть ошибка, которую сделали, торопясь обогнать конкурентов. Все, что после - продолжение ошибки.
ага. и очень удачная ошибка получилась.
Ваш сарказм понятен, но не конструктивен... есть достаточно много вещей, который люди испоьлзуют по лени, по незнанию, по жадности других (табак, кола, бензин и т.п.)... дальше даже распространяться не хочется - это либо понятно сразу, либо надо очень долго рассказывать...
>ага. и очень удачная ошибка получилась.Понимаете, маркетологи способны продать даже прошлогодний снег эскимосам.Ну вот архитектура x86 - это даже не прошлогодний снег а хлам который был актуален в начале 80-х.А в 2009 году процессор с столь куцым регистровым файлом из-за которого программа является засильем армады push и pop и прочими БЕСПОЛЕЗНЫМИ перетасовками регистров густо разбавляющих осмысленные действия выглядит как паровоз рядом со скоростным поездом легко делающим 300 км/ч.Да, интель сделал нехилую работу - прикрутил к паровому котлу турбины, поставил обтекатель, оптимизировал теплопередачу, затвикал цилиндры и все такое.Даже бортовой компьютер и GPS приделали.Теперь их паровоз тоже выжимает 300 км/ч всем назло :).Но менее паровозным он от этого не стал.По прежнему требует дрова и воду.Пардон, тасует регистры туда-сюда, не для достижения задачи а просто потому что их у него - мало и до того как поюзать - надо сперва сохранить из регистров то что есть:).По прежнему оно жуткий тормоз на прерываниях.По прежнему требует невъ...нное количество довесочной системной логики в виде монструозного чипсета, который зачастую получается больше чем сам процессор.И так далее.
Вопрос: в чем удачность этой ошибки?Я вижу удачу для маркетологов интела, не отнять.А с технической точки зрения - оно такое только потому что приходилось десятилетиями поддерживать совместимость с проприетарным софтом который никто не будет переписывать, перекомпилировать под более вменяемую архитектуру проприетарь не судьба, а юзеры уже вложили в такой вот софт бабки а потому просто выкинуть его не хотят.А в итоге - могучий 64-битник стартует в 16-битном режиме с биосом на который операционки просто плевать хотели после старта - bios по сути юзается как оверсайзнутый бутблок на мегабайт.Буахахаха, безошибочная архитектура, мля :)
Вот только ТРУЪ архитектуры (все без исключения RISC) оказались на свалке истории, догнивая в нишках (у них у всех были свои приколы - банкирование регистров, регистровые окна, привилегии и атрибуты прямо в битах адреса). Исключение - убогий ARM, из которого только к 8-й версии получилось что-то относительно удобоваримое, но все равно ограниченное убогой полу-RISC концепцией.
Допустим, что архитектура x86 - ошибка и вообще не труЪ. Какую же архитектуру, в таком случае, вы предлагаете использовать вместо неё? ARM?
> Какую же архитектуру, в таком случае, вы предлагаете использовать вместо неё? ARM?amd64 например, с полностью вырезанной обратной совместимостью
>> Какую же архитектуру, в таком случае, вы предлагаете использовать вместо неё? ARM?
>
>amd64 например, с полностью вырезанной обратной совместимостьюLOL
Постепенно будут выкидываться устаревшие фичи, на самом деле. Процесс уже идет.
>Допустим, что архитектура x86 - ошибка и вообще не труЪ. Какую же
>архитектуру, в таком случае, вы предлагаете использовать вместо неё? ARM?Интель хотел итаниум.Но при их позиционировании как архидорогие и архикрутые процессоры они не получили особого распостранения.Тем более что конкуренции нет а на выполнении х86 итаниум был дохл.Итого итаники так, влачат существование, не более.Софта под них портировано мало.При том интел сам же своей политикой продаж и создал эту ситуацию.Интель, вероятно, проще продавать то что продается :)
Что до AMD64 - это более вменяемо чем x86 (регистров больше, релативная адресация - то что у других было более десятка лет, в кои-то веки и тут появилось). Но не настолько кардинально перепахано как хотелось бы.
Вот ещё одно дырявое корыто - интель. Мир спасёт здоровая конкуренция процов различной архитектуры...
Интересно, а как у процов АМД с этим делом...
Не бойтесь, вам еще и для ускорения виртуализации поднасра^W эээ пардон, "добавили фич" :).Собссно возможность запуска гипервизора нынче есть и у интель (у этих при том еще и дока секретная) и у амд и оно собссно тоже ниже чем ring0, чтобы иметь возможность арбитрировать ресурсы виртуалок в ring0.Тоже позитивная штука для запуска руткитов которых не видно (BluePill от той же самой Рутковской этим и занимается).Кстати говоря - синюю пилюлю палить научились, хоть и косвенно.Так же можно спалить и добро в SMM.Более того - если руткит в SMM обнаглеет, линух например следит за временем и если SMM обработчик надолго зажопит проц - линух по этому поводу просто паникует AFAIK =)
Если это бэкдор, то будь уверен...
Я, возможно, опять что-то не понимаю.
Допустим, мы смогли, отравив кеш, что-то записать в SMRAM. Соотвественно, получился добротный руткит.
Оставляя за пределами обсуждения необходимость рутовых привелегий для данного действия, непонятным остается одно: как может этот руткит остаться незамеченным в системе, если мы можем, используя ту же уязвимость, получить полный дамп SMRAM и тупо проверить его контрольную сумму? Либо еще каким-либо способом определить, изменилась ли SMRAM.
хыыы, антивирь, который юзает дырки! для обнаружения вирей
прошу заметить, что для реализации эксплойта, код должен выполняться с привилегиями суперпользователя.
Берем хост, ставим ксен, отдаем domU виртуалку некоторому "клиенту".
Привилегий суперпользователя в domU - достаточно для эксплойта машины ?
Надеюсь Conficker/Downadup использует эту технологию?
>Надеюсь Conficker/Downadup использует эту технологию?Ждём новых билдов! :))
>>Надеюсь Conficker/Downadup использует эту технологию?
>Ждём новых билдов! :))Мелковато для подобной уязвимости, чересчур уж легко "вылавливается". Хотя в том, что Conficker/Downadup "сработали" "зубры" сомнений нет.
А вот то, что "пришла эпоха новых поколений вирусов, эксплуатирующих уязвимости железа", это точно!
Зря в РФ отказались от своей линии развития вычислительной техники и "повелись на поролон" PC...
Отказались ещё в СССР - был там некий перец, который в конце 70х решил, что лучше быть в отстающих и копировать поделки того же Ынтеля. Поэтому имеем то, что имеем.
Эх... А вот если бы "Сетунь" стала развиваться и далее, то было был очень хорошо!
>70х решил, что лучше быть в отстающихВы уж простите, но сравнивая советские микросхемы и микросхемы такой же давности буржуйского производства я прихожу к выводу что параметры буржуйских за ту же эпоху - на голову лучше.Видимо не может плановая экономика где количество превозносится над качеством штамповать шедевры.Более того - наши штамповали все на жручей рассыпной логике в громадных DIP корпусах когда буржуи перешли на более интегрированные схемы, более мелкие корпуса, surface mount и прочая.Кто нам не давал делать так же?Итого родился анекдот что советские микросхемы - самые большие в мире...
>Эх... А вот если бы "Сетунь" стала развиваться и далее, то было был очень хорошо!
А если б у бабушки... мозгов у нас конечно много но вот раздолбайство и геморрой при внедреже в эпоху СССР поставило на всем этом крест.В итоге много характерных фамилий пополнило стройные ряды американских контор.Регулярно натыкаюсь на русскоговорящих среди staff'а больших легендарных фирм.Будь то интель или кто еще.Да, вот у интеля явно не ржавеет с внедрежом лучших разработок.В отличие от.А крутые разработки но в виде теории и громадных шкафов с аппаратурой сделаной по устаревшим технологиям нужны немногим.
>>70х решил, что лучше быть в отстающих
>Видимо не может плановая экономика где количество превозносится над качеством штамповать
> шедевры.О да! А неплановая кап.экономика, значит, хороша, где стоимость превозносится над качеством? В результате чего мы имеем силумин там, где должна быть сталь и продукт ломается, чтобы надо было покупателю бежать за новым, т.е. тратить деньги. Потреблядство, уж извините, не порождение плановой экономики...
P.S. Оба вида имеют свои плюсы и минусу. Лично по мне, грамотная плановая экономика куда лучше, чем кап. Между тем в СССР плановая экономика давала сбой "не на всех фронтах".
При рыночной экономике есть продукты на разный кошелек, вот и все. В отличие от планчика, где все, что сложнее чугунной сковородки, надо было подпилить, пересобрать, подпаять, а где-то подрубить шахтным зубилом.
> При рыночной экономике есть продукты на разный кошелек, вот и все. В
> отличие от планчика, где все, что сложнее чугунной сковородки, надо было
> подпилить, пересобрать, подпаять, а где-то подрубить шахтным зубилом.Так ты не только в советской технике, но и советской экономике эксперд? И откуда в одной голове столько глупостей уместилось?
Ну расскажи, зумерок, про великую салфетскую технику и экономику, человеку, который в совке жил. Штаны только постирай сначала.
Ерунда это все. Все эти "сетуни"-"эльбрусы"-"бэсмы" были хламом, не совместимым даже между собой. Копирование IBM (чем, кстати, занималось полмира), DEC, и Intel позволило получить доступ к реальному софту, а не чьим-то неподдерживаемым диссерам.
> Ерунда это все. Все эти "сетуни"-"эльбрусы"-"бэсмы" были хламом, не совместимым даже между
> собой. Копирование IBM (чем, кстати, занималось полмира), DEC, и Intel позволило
> получить доступ к реальному софту, а не чьим-то неподдерживаемым диссерам.О! Экспреды по советской технике подтянулись.
Теперь я понимаю, почему в МО РФ компы с процессорами интел не подключены к инету, а подключены только компы от МЦСТ.
А зачем в МО вообще компы подключать к интернету?
1 компьютер в виде "визитной карточки" без всяких тайн в интернет и остальная изолированная локальная сеть. И не хакеров ни утечки данных.
Как говорили в эпоху проводных сетей: "сантиметр воздуха защищает от любого хакера" :)
>Теперь я понимаю, почему в МО РФ компы с процессорами интел не
>подключены к инету, а подключены только компы от МЦСТ.да уж...
становится очевидной необходимость развития отечественной отрасли процов.
Задавят америкосы... поедешь жить и молодую травку щипать в америкосию. Не все ли равно тебе да мне на предприятии что есть дырки, пока они не мешают работе.
Ну errata всю жизнь были, вопрос в другом, обновят микрокод процов и как скоро ждать свежих биосов матерей закрывающих уязвимость?
Это получаеться, хакер владеющий руткитом может взломать Amazon EC2 ?
>Это получаеться, хакер владеющий руткитом может взломать Amazon EC2 ?А вы уверены, что там Intel? :)
Ведь может быть и SPARC. Или Power
А вы уверены, что в SPARC или Power нет ничего подобного?
И куда ведет ваше высказывание? Вы имеете ввиду, что ошибки есть везде и взломать можно все? Излагаете прописные истины?
Нет я веду на исследования типа
http://www.uinc.ru/news/sn9884.html
Где говорится что было достаточно перепрошить и изменить 1341 вентилей, что бы получить черный ход.
И несмотря нато, что там использовался программируемый чип LEON, никто не страхует что где нибудь на этапе производства и в обычные процессоры не добавят черный ход.
Утекло таки в паблик
_http://lenta.ru/news/2008/07/15/kris
Только вот что то ни кто не говорит о том, что выполнялось на машинах серии DQ
у которых есть функция удаленного администрирования. Да и закончиться все это
заплаткой в BIOS. Может я что не так?
Если можно сдампить SMRAM, то можно и вирус там найти, а излечение простое - выключение компа, на то она и SMRAM, что энергозависимая. Чего раздули такой шум непонятно, уязвимости уже 20 лет, прам как с уязвимостью в DNS серверах шумиху подняли.
Тоже мне-буря в стакане.
Крис Касперски в месяц по 2-3 таких уязвимости публикует, и ниче-никто не паникует
>Известная польская исследовательница в области компьютерной безопасности
> Жанна Рутковская (Joanna Rutkowska)Её зовут Ёанна, а не Жанна.
>>Известная польская исследовательница в области компьютерной безопасности
>> Жанна Рутковская (Joanna Rutkowska)
>
>Её зовут Ёанна, а не Жанна.И не Рутковская, а Рутковска тогда уж. Вольные фантазии переводчика.
>>>Известная польская исследовательница в области компьютерной безопасности
>>> Жанна Рутковская (Joanna Rutkowska)
>>
>>Её зовут Ёанна, а не Жанна.
>
>И не Рутковская, а Рутковска тогда уж.а ведь точно :)
>Вольные фантазии переводчика.
Польское имя Жанны, записанное латиницей, многие переводчики переводят буквально — "Джоанна" (Joanna), забыв о том, что существует специальные правила транслитерации (и даже ГОСТ!), которые никто не отменял. Смотрели фильм "Joanna d'Arc"? Нет?! Значит, вы определенно не поляк, поскольку в американский прокат фильм вышел под названием "The Messenger: The Story of Joan of Arc", в то время как на французском имя главной героини записывается как "Jeanne d'Arc", то есть Joanna — эта Жанна, записанная на польский манер. И никакая она не "Джоана". Эх, из чего же только не делают переводчиков ;(Крис Касперски (с)
>Польское имя Жанны, записанное латиницей, многие переводчики переводят буквально —
>"Джоанна" (Joanna), забыв о том, что существует специальные правила транслитерации (и дажеИ Джоанна и Жанна - одинаково ошибочны, её имя - Ёанна или Йоанна. Тот факт, што оно имеет общие корни с именем Жанна ничего не меняет.
Что там IBM и AMD так подсуетились? А факт того, что Intel обладает всеми правами на архитектуру x86? Видно, забыли, что сами нелегально используют эту архитектуру. А дыра не такая уж и страшная, но для linux, где ПО очень сильно привязано к железу, это страшная дыра.
>Что там IBM и AMD так подсуетились? А факт того, что Intel
>обладает всеми правами на архитектуру x86? Видно, забыли, что сами нелегально
>используют эту архитектуру.О да: они незаконно поучили лицензию. :)
> А дыра не такая уж и страшная, но для linux, где ПО очень сильно привязано
> к железу, это страшная дыра.Молодой человек, вас к компьютерам подпускать категорически запретил лечащий врач.
Небось винда - ни грамма не привязанная к железу? И переносится без единых проблем с с одного компа на любой другой? И уж совсем ей пофиг, если платформы будут разных производителей? ;)
Самое весёлое было наблюдать, как винда (ХРюша СП3), установленная на комп. выпала в БСОД и перестала работать на другом компе и точно такой же материнкой. Я уж думал, что хоть в пределах одной материнки переносима, а нет - тут всё плохо совершенно.