Обнаружена уязвимость в чипах x86 на базовом уровне

Кристофер Домас (Christopher Domas) из Battelle Memorial Institute представил на конференции Black Hat исследование, в котором сообщается, что в архитектуре x86 имеется брешь, позволяющая злоумышленникам устанавливать руткит в низкоуровневой прошивке.

Отмечается, что эта уязвимость присутствует в данной процессорной архитектуре с 1997 года. Оказывается, при установке вредоносного кода на уровне приоритетов ‘ring 0’, он может незаметно для всех существующих систем безопасности переходить на уровень ‘ring -2’, где размещается System Management Mode (SMM). Отсюда возможно внедрение руткитов и на уровень ‘ring -1’, где размещается гипервизор. Получив доступ к SMM можно фактически установить контроль над ПК, поскольку этот режим позволяет обходить защитные механизмы, например, Secure Boot.

Для установки вредоносного кода необходимы наивысшие права доступа в систему. Предложенный метод может использоваться скорее не для взлома компьютера, а для маскировки несанкционированного внедрения в систему.

Как заявил Кристофер Домас, он сообщил Intel про обнаруженную проблему, и компания предприняла меры для ее устранения, выпустив заплатки для предыдущих версий своих процессоров. Демонстрация взлома была проведена на платформе Intel, однако, как заявил Кристофер Домас, это можно сделать и на платформе AMD.