Een beveiligingslek in tal van Intel processoren is door twee verschillende onderzoekers ontdekt, die op twee verschillende conferenties hun ontdekking zullen publiceren. De kwetsbaarheid laat een aanvaller zijn rechten van Ring 0 naar System Management Mode (SMM) verhogen en kan zo een moeilijk op te sporen rootkit plaatsen. Via de rootkit kan een aanvaller alle informatie op het systeem manipuleren of stelen. Zowel de Poolse rootkit-expert Joanna Rutkowska als Loíc Duflot ontdekten dat het cache mechanisme van Intel processoren te misbruiken is voor de aanval.
Tijdens de afgelopen Black Hat conferentie in Washington demonstreerde het team van Rutkowska al een aanval op de Trusted Execution Technology van Intel. De onderzoekers wisten het systeem onbetrouwbare code te laden, iets wat de Trusted bootloader juist moet voorkomen. Veel details werden niet gegeven, aangezien Intel nog aan een oplossing werkt. Na de presentatie werd de Poolse door een man benaderd die vroeg of een SMM-aanval via CPU caching mogelijk zou zijn. Teruggekomen in Polen gingen de onderzoekers aan het werk en hadden binnen een paar uur een werkende exploit.
Rootkit-controle
Rutkowska meldde het probleem bij Intel en kregen te horen dat een andere onderzoeker, Loíc, hetzelfde lek had ontdekt, alleen drie tot vier maanden eerder. Toch was hij ook niet de eerste. Een werknemer van Intel besprak al in 2005 de mogelijkheid om System Management Mode via een caching aanval te compromitteren. Ze waarschuwt dan ook dat als er ergens een lek zit dat maar lang genoeg ongepatcht blijft, andere mensen dit ook vroeger of later zullen ontdekken. "Geef onderzoekers dus niet de schuld als ze informatie over lekken publiceren, ze doen de bevolking juist een gunst."
Volgens de Poolse heeft de man die haar op de conferentie benaderde zeker een exploit voor het caching lek, maar besloot hij Intel niet te waarschuwen. "Je vraagt je af wat hij met zijn exploit aan het doen is. Wanneer was de laatste keer dat je je systeem op SMM rootkits controleerde?"
Deze posting is gelocked. Reageren is niet meer mogelijk.