La Black Hat Conference svoltasi nei giorni scorsi a Las Vegas ha seminato un po’ di zizzania in tema di sicurezza informatica o meglio di mancata sicurezza. Anche i chip Intel, dopo i milioni di smartphone basati su Android a rischio di attacco secondo Check Point, finiscono loro malgrado sotto i riflettori: un ricercatore del Battelle Memorial Institute, Christopher Domas, durante l’evento ha descritto un difetto di fabbricazione dei processori con architettura x86, risalente addirittura al 1997 ma finora passato inosservato.
A detta del ricercatore, questa vulnerabilità permette a chi sferra un attacco di installare un rootkit nel livello profondo del firmware di un Pc. Come tipico dei malware che colonizzano il Bios, l’attacco può risultare invisibile agli antivirus e agire indisturbato.
Più precisamente, la vulnerabilità consente in teoria di installare il rootkit nell’area del processore chiamata System Management Mode e corripondente al “ring -2”, cioè a uno strato più profondo rispetto all’hypervisor (ring -1) e al livello dell’esecuzione (ring 0). A detta di Domas, nonostante gli “innumerevoli meccanismi di sicurezza” che proteggono il System Management Mode, il difetto rimasto ignoto per quasi vent’anni permette di bypassarne alcuni.
Un volta installato il malware può agire su tutti e tre i livelli dal -2 allo zero e interferire con i comandi eseguiti negli altri ring. E un attacco di questo tipo è inisidioso perché non soltanto gli antivirus ma anche meccanismi come Secure Boot non sarebbero in grado di rilevarlo. Il programma malevolo, inoltre, potrebbe anche essere in grado di installarsi nuovamente dopo una pulizia del sistema.
C'è comunque un elemento da sottolineare: per poter sfruttare la vulnerabilità e installare il rootkit, il criminale deve già essere penetrato nel Pc e aver ottenuto privilegi di sistema o di kernel. Il difetto dei processori, dunque, non può essere usato per realizzare nuovi attacchi ma solo (e non è poco) per rendere invisibile e più persistente un'infezione già presente.
Il ricercatore ha testato l’exploit – portandolo a termine con successo – soltanto su processori Intel, ma ha sottolineato come il meccanismo teoricamente si applichi anche ai chip x86 di Amd. Domas ha anche sottolineato come Intel abbia mitigato la vulnerabilità nelle ultime versioni delle sue Cpu.