Disponibilité de la preuve de concept pour injecter un rootkit au sein de la puce Northbridge des chipsets Intel Q35

Par Xavier Poli, secuobs.com
Le 28/08/2009

---

Résumé : Une preuve de concept vient d'être publiée afin de démontrer les possibilités d'injection de code malicieux en ring -3, soit au sein même de la puce Northbridge des chipsets Q35 de marque Intel et cela via l'exploitation de la technologie AMT. - Lire l'article



Une preuve de concept pour un rootkit évoluant en Ring -3, soit au sein de la puce Northbridge ( lien ) des chipsets Q35 compatibles Intel vPro, vient d'être publiée par Invisible Things ( lien ) suite à la présentation d'Alexander Tereshkin et Rafal Wojtczuk à la Black Hat USA 2009 ( lien ).

Le chipset Q35 peut exécuter des programmes en parallèle et de façon indépendante du processeur principal via un coprocesseur ARC4 ( lien ), le Manageability Engine ( ME - lien ), présent au sein du Northbridge. On y retrouve notamment le micro-logiciel AMT ( lien ) qui autorise la gestion distante d'un ordinateur sans l'avoir allumé ou lorsqu'il subit un dysfonctionnement logiciel ou matériel. Ce micro-logiciel étant stocké sur une puce mémoire SPI qui est aussi utilisée pour le code BIOS.

L'exploitation des fonctions AMT va ici permettre d'injecter du code ARC4 via un remappage mémoire permettant l'accès depuis le système d'exploitation. La preuve de concept fournie en exemple, et qui peut survivre à la réinstallation du système, est ici très basique puisqu'il s'agit d'une écriture de la chaîne « ITL » vers la mémoire hôte toutes les quinze secondes par l'intermédiaire d'un accès DMA ( lien ) vers une adresse physique incrémentée invariablement à chaque itération.

Ce code pourrait cependant prendre l'apparence d'un rootkit plus sophistiqué ou d'un sniffer offrant un haut niveau de furtivité. Le système d'exploitation et les applications s'y exécutant n'étant en effet pas en mesure d'éradiquer de façon classique ces codes, à moins d'utiliser la même attaque d'injection et à condition que le rootkit n'ait pas bloquer préalablement le remappage des registres mémoire après sa propre installation par ce biais.

Bien que l'utilisation des versions 3.3 et 3.4 de l'hyperviseur XEN ( lien ) puisse permettre de restreindre les accès DMA via des protections VT-d ( lien ), l'attaquant garde encore néanmoins accès au reste de la mémoire et peut donc modifier le code d'initialisation de ces protections avant même leur activation afin d'être en mesure de les contourner.

Et quand bien même ces protections seraient actives avant l'exécution du rootkit, celui-ci pourrait tout de même forcer le système à redémarrer sur le CDROM virtuel AMT en exécutant un code modifiant l'image de la machine virtuelle chargée par l'hyperviseur pour lancer le système. Intel TXT ( lien ), pour l'exécution de confiance, pourrait être une solution si ses propres faiblesses n'avaient pas déjà été démontrées ( lien ).

Intel a bien essayé de publier dans un premier temps différents correctifs cumulatifs pour des attaques telles que SMM Cache Poisonning ( lien ) en ring - 2 et les rootkits BIOS ( lien ), il était cependant toujours possible pour l'attaquant d'effectuer une mise à jour du BIOS vers une version plus ancienne, présentant une signature Intel valide bien que vulnérable.

Un simple redémarrage, sans le consentement de l'utilisateur, et le code malicieux pouvait à nouveau exploiter les dysfonctionnements incriminés. Un correctif plus récent implique maintenant une invite de confirmation utilisateur lors d'un redémarrage conséquent à une mise à jour du BIOS vers une version plus ancienne et cela à condition que le mot de passe administrateur ait été activé et défini dans les configurations du BIOS.

Mais là encore le nouvel exploit BIOS Re-flashing, présenté ( lien ) par les mêmes chercheurs lors de la conférence Black Hat USA 2009, permet de contourner cette protection. A noter que les chipsets Q45 s'avèrent eux ne pas être faillibles pour le moment aux exploitations AMT/ME, Intel aurait apparemment ajouté en ce sens des composants additionnels en leur sein.

La preuve de concept ( lien )
Les slides ( lien )

Source : Blog The Invisible Things ( lien )