Unauffindbare Rootkits durch Fehler in Intel-Prozessoren - Fehler seit Jahren bekannt

Ein Intel seit Jahren bekannter Fehler stellt eine große Bedrohung dar.

von Georg Wieselsberger,
19.03.2009 11:30 Uhr

Wie Jamey Heary, Sicherheitsexperte und Leiter des Western Security Asset Teams bei Cisco, in seinem Blog bei Networkworld schreibt, steht den Nutzern von Intel-Prozessoren womöglich eine ernsthafte Bedrohung ins Haus. Heary bezeichnet die Ausnutzung eines Fehlers in den Cache-Mechanismen als den "furchterregendsten, heimlichsten und gefährlichsten Exploit" seit langer Zeit. Die beiden Sicherheits-Forscher Joanna Rutkowska und Loic Duflot werden ein Papier und den entsprechenden Code veröffentlichen, nicht aber ein fertiges Rootkit. Das wirklich Erschreckende an diesem Exploit ist laut Heary, dass er sich im System Management Mode-Bereich versteckt und damit Rechte erhält, die noch höher sind als die eines Betriebssystems, das SMM-Aufrufe nicht deaktivieren oder stoppen kann.

Da also das Betriebssystem den Bereich des SMM weder lesen noch kontrollieren kann und jeder dort ausgelöste Befehl Vorrang vor dem Betriebssystem hat, ist ein über diesen Exploit installiertes Rootkit bei einem laufenden und infizierten Rechner nicht mehr auffindbar. SMM ist in allen Intel-Prozessoren seit dem 80386 enthalten. Wie aus Dokumenten hervorgeht, wurde dieser Fehler bereits seit Ende 2005 von Intel-Angestellten diskutiert und die beiden Forscher haben Intel auch mehrmals darauf hingewiesen, zuletzt im Oktober 2008. Intel kenne den Fehler also seit Jahren, habe bisher aber keine Schritte zu dessen Behebung unternommen. Da der Fehler Experten aber bekannt ist, besteht eine hohe Wahrscheinlichkeit, dass er bald von Programmierern mit wenig legalen Absichten genutzt wird - wenn das nicht sogar schon der Fall ist. Durch die Veröffentlichung gerät Intel nun unter Druck, das Problem zu beheben, bevor es wirklich in großem Rahmen genutzt wird, ohne dass man es auf dem eigenen Rechner bemerken könnte.

Täglich aktuelle Hardware-News? Jetzt Newsletter bestellen!


Kommentare(14)

Nur angemeldete Benutzer können kommentieren und bewerten.