Momentan kann ich noch nicht einschätzen, was die aktuelle Meldung wirklich bedeutet. Auf Github hat jemand ein Proof-of-concept veröffentlicht was eine Designschwäche in der Intel x86-Architektur ausnutzt, um über SMM APIC-Angriffe auszuführen und Ring –2 Privilegien zu erlangen.
Anzeige
Auf die Fundstelle wurde ich durch Kristian Köhntopp in einem Google+-Posting aufmerksam. Kristian ist wohl über diesen Tweet von Adam Langley gestolpert.
One can map the APIC over SMM memory to hijack ring -2 execution on many x86(-64) chips: https://t.co/Zhs78H5JuD (via @FioraAeterna)
— Adam Langley (@agl__) 7. August 2015
Der System Management Mode (SMM) ist ein Ausführungsmodus in den x86-Prozessoren (siehe diesen Wikipedia Artikel). Über den Mode werden Übergänge in den Protected Mode, den Virtual 8086 Mode und den Real Mode über einen externen, nicht-maskierbaren System Management Interrupt (SMI) gesteuert. Diese Modes sollten nur in der Firmware des Geräts (BIOS, UEFI) genutzt bzw. umgeschaltet werden können. Auf Betriebssystem- und Anwendungsebene ist das durch das Design der x86-Architektabu.
Im Github Proof-of-concept hat jemand nun den APIC (Advanced Programmable Interrupt Controller einbezogen, um den Wechsel der Modes per SMM durch eine APIC Overlay Attacke anzugreifen. Ein entsprechendes RootKit ist angekündigt. Trifft nicht nur Windows sondern auch Android auf x86-CPUs und Linux (der Autor demonstriert das Exploit in seinen Folien unter Linux). Update: Das Ganze betrifft wohl CPUs vor 2010 (siehe).
Anzeige
Anzeige
