Rootkit kann völlig unsichtbar direkt in Intel Prozessoren laufen

Diskutiere Rootkit kann völlig unsichtbar direkt in Intel Prozessoren laufen im Security-Zone - Sicherheitslücken, Virenschutz Forum im Bereich Hardware & Software Forum; http://www.heise.de/newsticker/Angriffe-auf-Intels-System-Management-Mode--/meldung/134913 Es ist zu hoffen, dass diese Schwachstelle durch...
Neues Thema erstellen Antworten
  • Rootkit kann völlig unsichtbar direkt in Intel Prozessoren laufen Beitrag #1
the ubm

the ubm

Senior Moderator
Dabei seit
29.05.2005
Beiträge
9.464
Reaktionspunkte
1
http://www.heise.de/newsticker/Angriffe-auf-Intels-System-Management-Mode--/meldung/134913

Doch indem sie den Cache der CPU vergiftet, gelingt es Rutkowska dort eigenen Code einzuschleusen, der dann mit allerhöchsten Privilegien läuft, aber dabei für Betriebssystem und Applikationen unsichtbar bleibt.
Zum Vergrößern anklicken....

Es ist zu hoffen, dass diese Schwachstelle durch ein BIOS-Update beseitigt werden kann.
Weiß eventuell jemand mehr? Speziell interessiert mich, ob durch Ausschalten des PCs der Code aus der CPU verschwindet. Falls ja kann durch Booten von einer Live-CD das Rootkit letztendlich aufgespürt werden.
 
  • Rootkit kann völlig unsichtbar direkt in Intel Prozessoren laufen Beitrag #3
the ubm

the ubm

Senior Moderator
Dabei seit
29.05.2005
Beiträge
9.464
Reaktionspunkte
1
Vielen Dank für den Link. Es war ja so ähnlich wie ich mir gedacht habe. Nach einem Reboot ist alles weg. Hinzu kommt, dass man sich durch ein Bios-Update schützen kann und bereits einmal den Rechner in den Ruhezustand gefahren und der Rechner ist bis zum nächsten Windows Neustart geschützt. Das war der Artikel grob zusammengefasst.
 
  • Rootkit kann völlig unsichtbar direkt in Intel Prozessoren laufen Beitrag #4
I

InsaneKaos

Mitglied
Dabei seit
04.01.2009
Beiträge
18
Reaktionspunkte
0
Ort
Lübeck
Nun könnte es allerdings problematisch werden, wenn eine Schadsoftware so programmiert ist, dass sie beim Start von Windows so funktioniert, wie die Meisten Schädlinge. Also sich startet und seine böse Arbeit macht. Nun allerdings das Rootkit in den SMRAM schreibt und alle zugriffe abfängt. Im laufenden Betrieb wäre es nicht möglich es zu entdecken. Man könnte es nun durch den Ruhezustand schaffen, das Rootkit aus den SMRAM zu löschen, allerdings könnte das eigentliche Schadprogramm nun den SMRAM prüfen, ist D_LCK auf 0 gesetzt, wird der Code für das Rootkit sofort nachgeladen, somit hätte man kaum eine Chance dies zu bemerken, denn es unterbindet dann augenblicklich alle Zugriffe auf sich selbst und den eigentlichen Code, des normalen Programmes.

Nun ist es nicht möglich, auf in den SMRAM zu schreiben, wenn D_LCK = 1 ist, also müsste man ein Programm schreiben, welches dieses macht und seinerseits vielleicht ein Scanner für Malware ist oder einfach Zugriffe auf den SMRAM protokolliert.
 
  • Rootkit kann völlig unsichtbar direkt in Intel Prozessoren laufen Beitrag #5
I

InsaneKaos

Mitglied
Dabei seit
04.01.2009
Beiträge
18
Reaktionspunkte
0
Ort
Lübeck
Ich halte es jedoch insgesamt für unwahrscheinlich, dass es überhaupt fähige Schadprogramme geben wird, bevor es weitreichend gepatch ist.

Also werde ich mir nicht so sehr einen Kopf drum machen, aber halte es dennoch für eine Sache, um die Intel sich mehr kümmern sollte. Es würde ihren Rufe jedenfalls nicht schaden ; )
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Neues Thema erstellen Antworten
Thema:

Rootkit kann völlig unsichtbar direkt in Intel Prozessoren laufen

ANGEBOTE & SPONSOREN

https://www.mofapower.de/

Neueste Beiträge

Statistik des Forums

Themen
213.180
Beiträge
1.579.174
Mitglieder
55.879
Neuestes Mitglied
stonetreck
Oben