image

Hackers onthullen lek in Intel processoren

dinsdag 6 december 2011, 12:10 door Redactie, 9 reacties

De Poolse rootkit-expert Joanna Rutkowska heeft een beveiligingslek in Intel processoren ontdekt, waardoor aanvallers willekeurige code op systemen kunnen uitvoeren. Het buffer overflow probleem bevindt zich in de Intel Trusted Execution Technology SINIT Authenticated Code Modules (ACMs), die op Intel Core i7, i5, Xeon en Core 2 processoren aanwezig zijn.

Advisory
Intel heeft inmiddels een advisory en updates uitgebracht. Volgens Rutkowska wordt daar niet de gehele impact van het probleem beschreven. Een aanvaller zou door het kapen van de SINIT module, ook de IntelTXT beveiliging kunnen omzeilen en het systeem SMRAM kunnen compromitteren.

Verder geeft Intel het probleem een "Important" beoordeling. Een aantal jaren gelden ontdekte het team van Rutkowska ook een probleem in de processoren van Intel. Toen was de impact van de aanval veel kleiner, maar werd het lek als 'critical' omschreven. "Ik denk dat dit evolutie wordt genoemd en ik vraag me af wat Intel vandaag de dag als critical beschouwt", laat ze weten.

Patch
De Poolse onderzoekster merkt op dat het probleem zeer lastig voor Intel te patchen was. Naast nieuwe SINIT modules, moest er ook nieuwe microcode voor alle getroffen processoren worden uitgebracht. Verder moest de chipfabrikant ook met verschillende BIOS-leveranciers samenwerken, aangezien die nieuwe BIOSsen moesten uitbrengen om de nieuwe microcode te updaten. "Een behoorlijke onderneming", merkt Rutkowska op.

Intel adviseert gebruikers om de laatste updates te installeren. Als er geen updates beschikbaar zijn, krijgt men het advies om IntelTXT in de BIOS uit te schakelen. Als deze optie is uitgeschakeld zijn systemen niet meer kwetsbaar voor de aanval. De chipfabrikant benadrukt verder dat de aanvallen nog niet in het wild zijn waargenomen.

Update: tekst aangepast

Reacties (9)
06-12-2011, 13:10 door Bitwiper
In http://www.invisiblethingslab.com/resources/2011/Attacking_Intel_TXT_via_SINIT_hijacking.pdf lees ik:
Door Rafal Wojtczuk en Joanna Rutkowska: [...]
12 Summary

1. SINITs are buggy just like any other software. Intel should consider open sourcing those critical pieces of code.

2. SINIT compromise allows more than \just" TXT bypass, e.g. it also allows SMM compromise, and perhaps something else. . . ?

3. It's a shame we still don't see STMs in the wild, even on Intel platforms!

4. Preventing our attack requires: 1) SINIT patching, 2) secrets resealing by customers, 3) BIOS upgrade, and finally 4) adding the BIOS to the chain of trust. The last two might have been avoided if we had STMs...
[...]
Ik wist niet goed wat een STM is. Na wat zoeken lees ik in http://invisiblethingslab.com/resources/bh09dc/Attacking%20Intel%20TXT%20-%20paper.pdf onder meer:
Door Joanna Rutkowska: [...]
TXT Design Problem

While Intel does indeed have plans to patch the SMM-implementation bugs we have exploited in our attack, the correct and generic solution to protect TXT against SMM-originating attacks is supposed to be provided by a software component called SMM Transfer Monitor (STM).

Unfortunately, no STM is currently available. According to Intel, STM is supposed to be provided by OEMs/BIOS vendors.
[...]
Met andere woorden: met punt 3 in de eerste quote bedoelt Joanna dat het jammer is dat BIOS/moderbord leveranciers nog geen STM's toepassen!

Voor meer info Google je naar: stm transfer monitor site:intel.com trust
06-12-2011, 14:47 door Anoniem
Het artikel zegt onder meer : "Als er geen updates beschikbaar zijn, krijgt men het advies om IntelTXT in de BIOS uit te schakelen. "

Waarom staat er niet bij hoe dat moet (en wat daarvan de consequenties zijn)? Van een willekeurige computergebruiker kan toch niet verwacht worden dat hij dat weet, ook al wil graag hij op de hoogte blijven van alle ontwikkelingen en probeert hij (mede om deze reden) tijd vrij te maken om deze site regelmatig te lezen?
06-12-2011, 15:15 door Anoniem
" krijgt men het advies om IntelTXT in de BIOS uit te schakelen" ? Hoezo uitschakelen? Ik mag aannemen dat dat IntelTXT ergens goed voor is, wat doet het anders in mijn bios?
06-12-2011, 15:28 door Anoniem
En waar haal ik die updates? Ik heb hier op mn laptop een Intel Pentium processor.
06-12-2011, 15:47 door Mysterio
Door Anoniem: En waar haal ik die updates? Ik heb hier op mn laptop een Intel Pentium processor.
Execution Technology SINIT Authenticated Code Modules (ACMs), die op Intel Core i7, i5, Xeon en Core 2 processoren aanwezig zijn.
Ook niet verder gelezen dan de titel hè?
06-12-2011, 16:46 door Anoniem
IK heb op mijn Asus laptop pas een nieuwe bios update gehad,met de intel microcode update.
Mijn processor is een i5 2e generatie op 2 december.
OP mijn laptop heb ik Fedora 16 x64 staan.
Dus ik neem aan dat ik al veilig ben voor het lek in de processor.
06-12-2011, 17:49 door Anoniem
Watvoor updates? Moet ik m'n intel processor updaten (en hoe gaat dat dan) of zit de update in het besturingssysteem? (OSX)
07-12-2011, 01:35 door Ilja. _V V
Door Anoniem: OP mijn laptop heb ik Fedora 16 x64 staan.
Wat ons allerliefste Joanna, met veel gevoel voor drama, weer ten berde brengt, is dat probleem besturingssysteem onafhankelijk is & zich voordoet op het hardwareniveau eronder.

Volgens mij is zelfs haar eigen zelfontworpen "superveilige" besturingssysteem in beta er niet tegen bestand.

Net als haar oplossing "Evil Maid", alhoewel die iets minder "hard" is, & o.a. succesvol getest op & door de redactie van security.nl...

Probleem vanaf nu is dan ook, alhoewel het nog niet in het "wild" voorkomt, de oudere BIOS-systemen die niet meer ondersteund worden, & waarvoor gebruikers gedwongen worden updates bij een niet originele bron op te halen...
Voorbeeld van zo een grote, uitgekochte, bios-fabrikant: Phoenix.
07-12-2011, 09:06 door Dev_Null
Deze ontdekking geeft je toch te denken over de be/vertrouwbaarheid van processorbakker Intel zelf ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.