[News] SMM exploit bei einigen Intel-CPUs/Mainboards

rx4711

Commander
Registriert
Sep. 2007
Beiträge
2.334
Da bin ich froh das hier nur Rechner mit NVidia Chipsatz stehen...
 
Ich würde dazu gern was schreiben, nur hab ich keine Ahnung von der Materie und das meiste deutsche im Netz ist Halbwissen, außer das von Heise. Sieht übrigens auch Intel so, denen ich kurz ne Mail geschrieben hab.

Hallo Volker,



Ich kann dazu sagen, daß Heise das ganz richtig sieht. Loic Duflot hat auf der Sicherheitskonferenz CanSecWest bekannt gegeben Zugriff auf den SMM erlangen zu können. Wir tun jedoch alles um unsere Plattformen vor Angriffen zu schützen und nehmen natürlich jeden Hinweis auf Fehler oder offene Stellen sehr ernst und gehen dem nach. Deswegen sind wir auch in Kontakt mit dem Sicherheitsforscher, konnten bis dato aber noch keine aktiven Angriffe auf Plattformen in unseren Untersuchungen feststellen. Grundsätzlich empfehlen wir die Grundregeln zur Sicherheit eines Systems einzuhalten den Rechner mit geringeren Privilegien zu bedienen, Sicherheitssoftware zu verwenden, als auch das Betriebssystem auf dem aktuellen Stand zu halten.

Jede Sicherheitsmaßnahmen und Richtlinien zu betroffenen Intel Produkten veröffentlichen wir unter http://www.intel.com/security.

Intel GmbH
 
http://theinvisiblethings.blogspot.com/2009/03/independent-attack-discoveries.html

"In fact, the first mention of the possible attack using caching for compromising SMM has been discussed in certain documents authored as early as the end of 2005 (!) by nobody else than... Intel's own employees."

Wenn das stimmt, dann scheint das problem Intel bereits länger bekannt zu sein und
es gibt vermutlich gar keine abhilfe gegen den exploit ...
und das problem wird sich durch das allmähliche verschwinden der betroffenen
intel-chipsätze von selbst lösen ...
 
Volker schrieb:
Ich würde dazu gern was schreiben, nur hab ich keine Ahnung von der Materie und das meiste deutsche im Netz ist Halbwissen, außer das von Heise. Sieht übrigens auch Intel so, denen ich kurz ne Mail geschrieben hab.

Da ist ja leicht gesagt, dass alles andere ausser heise.de oder Intels offener und aufrichtiger Sprech, Halbwissen ist. Das klingt mal wieder alles andere als glaubwürdig und vertrauenserweckend, sowohl dein als auch Intels Schreibstil.

Aber eines finde ich toll, der gute Draht zu Intel hier! Wenn irgendwas negatives über Intel auftaucht wird innerhalb von Stunden aufgeklärt, dementiert und geradegebogen. Herzlichsten Dank dafür (an den Chef).



Deswegen sind wir auch in Kontakt mit dem Sicherheitsforscher, konnten bis dato aber noch keine aktiven Angriffe auf Plattformen in unseren Untersuchungen feststellen.

1. Was nicht ist kann ja noch (jetzt) werden
2. Ob Intel das überhaupt festellen kann, wenns unbemerkt abläuft, ist die Frage
3. Wenn sie welche bemerkt hätten würde sie es momentan wohl kaum zugeben
 
Zuletzt bearbeitet:
@Volker:
Interessant wäre jetzt inwiefern man aus einer virtuellen Maschine raus Code im Host-System platzieren/ausführen kann. Das halte ich für die einzig interessante Gefahr.
Evtl. kann dein Kontakt bei Intel da mal was zu sagen.
 
> Interessant wäre jetzt inwiefern man aus einer virtuellen Maschine raus Code im
> Host-System platzieren/ausführen kann. Das halte ich für die einzig interessante Gefahr.


Weiß nicht genau, was Du uns damit sagen willst ...

Wieviel prozent der anwender lassen virtuelle server auf ihren PCs laufen ?
Und für den hier besprochenen exploit reicht es angeblich völlig aus, den code
unter windows mit admin-rechten einzuschleusen ...

Nachdem die meisten anwender ihre WinXp/Vista PCs als Admins nutzen
(wer versucht hat WinXP ohne Admin-rechte zu nutzen weiß wie schwierig das ist),
dürfte die "zielgruppe" für den exploit entsprechend groß sein ...

Die "anleitung" für den exploit steht ja jetzt im internet ...
mal schauen wie lang es dauert bis die ersten "anwendungen" auftauchen ...
:)
 
Weiß nicht genau, was Du uns damit sagen willst ...
Um Privat-PCs zuhause geht es mir nicht. Sofern das über die Grenzen einer VM hinaus funktioniert ist jedes Konzept in der Richtung Sachen abzutrennen im Eimer.
Ich stelle mir gerade diverse Hoster mit Tausenden vServern für 15 Euro/Monat vor bei denen man in der VM (zumindest wenns ne richtige ist und kein Virtuozzo) ja root/Admin-Rechte hat.
Jeder davon könnte dann ggf. den Host und somit weitergedacht auch alle anderen vServer auf dem System hijacken. Ich denke da an Millionen von Passwörtern in irgendwelchen php-Scripten oder die Möglichkeit Webseiten zu manipulieren oder Warez/Porn zu verbreiten (bestimmt spaßig wenn die Kripo vor der Tür steht weil auf deinem vServer plötzlich Kinderpornos gehostet werden).

Die Gefahr unter Windows zuHause halte ich für recht zweitrangig weil das erst dann ein Problem wird wenn du schon Sachen als Admin ausführst. Die Lücke macht es bestenfalls schwerer für andere Programme den Schädling nachher zu erkennen, aber wir reden hier ja von der Situation wenn der Damm schon gebrochen ist, nicht ob er bricht oder nicht. Sprich verloren hast du eh wenn ein Schadcode bei dir als Admin ausgeführt wird.
 
Exat Blutschlumpf.
Dein beschriebenes Szenario trifft den Nagel auf den Punkt.
An die ganzen Firmenrechner die noch jahrelang in den Kombinationen CPU/Chipsatz (DELL, HP usw.) so laufen werden, möchte ich dabei garnicht denken.
Das ganze damit abzutun das das Problem sich ja eh bald von selber löst, halte ich für grob Fahrlässig und erinnert micht eher an die Vogel Strauß Taktik als an fundierte Problembewältigung.
 
Zurück
Oben