Nuove tecniche per lo sviluppo e la diffusione di rootkit si affacciano sulla scena mondiale. Sherri Sparks e Shawn Embleton hanno messo a punto un approccio che prevede, come requisito, la conoscenza del funzionamento dei processori Intel. Il rootkit “dimostrativo” sviluppato da Sparks e Shawn utilizza il “System Management Mode” (SMM) delle CPU Intel per celare un keylogger in memoria.
System Management Mode è stato messo a punto per reagire ad eventi di sistema come possono essere i problemi legati al chipset ed alla memoria, per estendere le funzionalità della scheda madre, per gestire risparmio energetico e temperature di lavoro. SMM è implementato in tutti i moderni processori x86 e x64, inclusi quelli prodotti da AMD e Via. Il sistema operativo non è in grado di interrompere una chiamata SMM.
Già due anni fa, Loic Duflot – in occasione della “CanSecWest Conference” – aveva presentato una ricerca nella quale egli mostrava come SMM potesse essere impiegato, in ambiente OpenBSD, per acquisire privilegi utente più elveti. Sino ad oggi, però, nessun rootkit funzionante era stato ancora sviluppato.