Non sono sorpreso più di tanto nel vedere quanto rumore abbia provocato in tutto il mondo la nuova ricerca rilasciata da Joanna Rutkowska e dal suo team.

La ricerca è focalizzata sulle possibilità di sfruttare un bug scoperto nei sistemi basati su CPU Intel per riuscire ad eseguire del codice arbitrario in System Management Mode, la modalità di funzionamento più privilegiata nei processori Intel.

Come già sottolineato dalla stessa Joanna Rutkowska e Rafal Wojtczuk nel documento rilasciato, questo non è il primo attacco sviluppato nei confronti dell’SMM. Da alcuni anni abbiamo visto molti tentativi di muovere gli attacchi dal campo del sistema operativo, più in profondità del Ring0. Abbiamo visto dei proof of concept rootkit basati su hypervisor a Ring -1 e ora del malware in modalità SMM (che potrebbe essere definito come Ring -2).

Premettendo che non commenterò la ricerca in sé – potrebbe essere l’argomento per un altro post – vorrei invece focalizzarmi su alcuni punti importanti.

Il progetto bluepill è già conosciuto e pubblico da qualche tempo, così lo sono altri progetti quali SubVirt, ci sono anche proof of concept di infezioni del firmware delle schede PCI. La ricerca è un fattore intrinseco nell’uomo e permette a tutti di fare continuamente passi avanti.

Tuttavia va tutto visto secondo la giusta prospettiva.

Leggendo in alcuni forum, ho notato alcune persone spaventate da questo attacco che parlavano addirittura di buttare la propria CPU perché probabilmente vulnerabile a questi attacchi.

E’ vero, c’è la remota possibilità che possa accadere un’infezione, un rootkit che sfrutti un attacco all’SMM. Tuttavia è molto improbabile. Perché?

Semplice. I malware attuali sono utilizzati per rubare informazioni, numeri di carte di credito, informazioni bancarie, sottrarre soldi e identità digitali. I malware writer hanno capito che non c’è bisogno di utilizzare tecniche avanzate quale può essere un attacco tramite l’SMM, che è molto difficile da scrivere ed è hardware dipendente.

Poi ci sono gli attacker che invece vogliono trasformare il pc degli utenti in degli zombie per creare una botnet e venderla al miglior offerente o utilizzarla per estorsioni o per inviare spam. Anche qui ci sono svariati rootkit kernel mode che sono in grado di superare la maggior parte dei software antirootkit inclusi nelle suite di sicurezza antivirus.

Sì, ci sono tool antirootkit standalone online che sono in grado di individuare anche le ultime infezioni, ma sono troppo complicati e difficili da utilizzare per l’utente medio.

Attualmente gli attacchi sono progettati e sviluppati per essere veloci, efficienti e per cambiare continuamente al fine di rimanere invisibili. I malware writer hanno capito che se vogliono colpire le società di antivirus devono colpire il più veloce possibile, sapendo che le tecnologie attuali degli antivirus non riusciranno a tenere il loro passo e verrano così superate.

Noi alla Prevx vediamo questo trend continuamente, isolando migliaia di nuovi malware ogni giorno.

Da una ricerca interna è stato possibile vedere chiaramente come la maggior parte dei rootkit in the wild riescano a nascondersi agli occhi delle suite antivirus con una facilità estrema. Non hanno bisogno di sovrascrivere l’SMRAM – come i rootkit SMM fanno – o di utilizzare tecnologie di virtualizzazioni per prendere possesso del sistema operativo. Sono “semplici, elementari, kernel mode rootkit”.

Sì, non interessanti quanto i rootkit SMM, ma sono questi il vero nemico contro cui combattare ogni giorno. E il sistema operatio è ancora il campo di battaglia che tanto piace ai malware writer.

I SMM rootkit sono sicuramente una possibile minaccia ma sono molto meno pericolosi dei malware attuali che sono là fuori. Per registrare i tasti premuti, password e dati personali, non c’è bisogno di codice eseguito in SMM – in realtà è possibile farlo anche da user mode in un account limitato senza bisogno di alcun exploit.

Bisogna essere spaventati dagli SMM rootkit tanto da buttare la propria CPU? Assolutamente no. C’è bisogno di utilizzare più prodotti di sicurezza per rafforzare le barriere del sistema? Certamente.