Lo studio da poco pubblicato sul web da Rafal Wojtczuk e Joanna Rutkowska, dal titolo “Attacking SMM Memory via Intel CPU Cache Poisoning” ha suscitato non poco scalpore. Sebbene il problema fosse già noto (Intel dovrebbe essere a conoscenza dal 2006), i due ricercatori hanno oggi riportato in auge la tematica che ha in sé pericolose implicazioni da punto di vista della sicurezza.
Come spiegano Wojtczuk e Rutkowska, si chiama System Management Mode (SMM) la particolare modalità operativa introdotta con il processore Intel 386SL ed ereditata da tutte le successive CPU x86. In tale contesto, la normale esecuzione delle istruzioni (comprese quelle correlate al sistema operativo) viene sospesa permettendo il lancio di altro software (generalmente un debugger gestito via hardware od un firmware) con l’utilizzo di privilegi elevati.
Il codice SMM risiede in un’area protetta della memoria di sistema, denominata SMRAM. Apposite misure cautelative sono poste in essere per limitare l’accesso al contenuto della SMRAM restrigendolo al solo BIOS. Ma vi sarebbe un problema legato all’architettura dei processori Intel che può permettere potenziali accessi non autorizzati alla SMRAM. Non solo. Il duo Wojtczuk-Rutkowska spiega come sia possibile sfruttare la lacuna di sicurezza per eseguire codice dannoso con massimi privilegi. La tecnica, se utilizzata nel prossimo futuro, potrebbe portare allo sviluppo di malware estremamente efficaci, capaci di nascondersi in modo efficace. Già gli autori dell’indagine parlano di “SMM rootkit”.
Lo stesso Internet Storm Center ha immediatamente fatto eco alla pubblicazione della ricerca, rimarcandone le possibili implicazioni ma ricordando come i ricercatori non abbiano correttamente reso noto un codice exploit “dannoso”: “non è stato rilasciato un SMM rootkit. Come scrive la Rutkowska sul suo blog, l’esempio di shell code pubblicato è totalmente inoffensivo“, ha voluto puntualizzare l’Internet Storm Center.
Secondo Wojtczuk e Rutkowska, Intel avrebbe riconosciuto l’esistenza del problema ed avrebbe chiarito di essersi già da tempo attivata per mettere a fuoco una soluzione. In particolare, diversi produttori di hardware e dei BIOS sarebbero stati coinvolti con l’obiettivo di implementare nuovi meccanismi per la prevenzione di possibili attacchi.