Il ricercatore Christopher Domas è intervenuto alla conferenza Black Hat per presentare un attacco contro i chip x86/x86-64 potenzialmente molto pericoloso, capace di sfruttare una vulnerabilità nascosta all’interno del più basso livello di esecuzione del codice nelle CPU per trasformare il codice malevolo in rootkit invisibili.
Dopo 40 anni di evoluzioni, ha denunciato Domas nella sua presentazione, l’architettura x86 creata da Intel contiene “un labirinto di backdoor dimenticate all’interno delle modalità ultra-privilegiate” di esecuzione del codice ben al di sotto del ring 0.
Una di queste falle, che secondo il ricercatore è rimasta intatta per quasi 20 anni, si trova nella modalità di esecuzione nota come System Management Mode (SMM) e permette al codice malevolo già dotato di accesso al ring 0 di camuffarsi ancora più a fondo all’interno della struttura “privilegiata” di un sistema x86.
SMM è una modalità operativa speciale accessibile solo per la gestione delle funzionalità hardware del PC e indipendente, almeno in teoria, dalle altre modalità operative e dal sistema operativo attualmente in esecuzione. Domas ha quindi trovato il modo di entrare in modalità SMM con un codice eseguito con privilegi di accesso al kernel, penetrando di fatto nello spazio di esecuzione più protetto dell’architettura x86.
La possibilità di compromettere la sicurezza di un PC x86 tramite SMM non è una novità assoluta , e nel caso della nuova falla si parla della possibilità di installare un rootkit/bookit all’interno del firmware UEFI, cancellare il contenuto del suddetto firmware e altro ancora. L’attacco è stato testato contro le CPU prodotte da Intel, ma stando a quanto sostiene Domas anche i chip x86 di AMD dovrebbero risultare vulnerabili.
Alfonso Maruccia