Pues significa System Management Mode
Y que hace?
es un modo de funcionamiento x86 de tu cpu, recuerdas que tu windows tiene la opcion de iniciar en MODO SEGURO??
pues de igual forma, la diferencia es que este modo es parte del firmware y no del software, asi que está en el RING-2,
SMM es un modo operativo de propósito especial prevista para el manejo de las funciones de todo el sistema, como administración de energía, control de hardware del sistema, o de propiedad código diseñado OEM. Está destinado para uso exclusivo de firmware del sistema, no por el software de aplicaciones o software de sistemas de propósito general.
Que tiene de bueno este modo??
El principal beneficio de SMM es que ofrece un entorno de procesador distinta y fácilmente aislado que funciona de forma transparente para el sistema operativo o las aplicaciones ejecutivas y software.
Con el fin de lograr la transparencia, SMM impone ciertas reglas. El SMM sólo se puede introducir a través del SMI (Sistema de Gestión de interrupción). El procesador ejecuta el código SMM en un espacio de direcciones separado que es inaccesible a otros modos de funcionamiento de la CPU
SKY LABS
En el laboratorio se decidío auditar el firmware de una placa Intel DQ77KBpara hacer ingeniería inversa necesitamos volcar la SMM a un SMMR o System Management Mode RAM
un trabajo nada facil, para lo cual evaluamos 2 formas de hacerlo:
1° La forma mas obvia de hacerlo es coger una parte del firmware y quitar la protección SMRAM y así hacerlo accesible al codigo SMM
2° Escribir un exploit para alguna vulnerabilidad de Firmware que nos permita leer el contenido de SMRAM basandonos en la base datos de vulnerabilidades registradas (CERT VU #976132)
Para alcanzar una mejor solución decidí codear un backdoor para el firmware que corra en SMM y proporcione un interfaz que permita dumpear la SMRAM del código menos privilegiado y que deje hacer algunas otras cosas útiles, luego escribí un payload adicional que permite escalar privilegios de procesos de modo de usuario bajo GNU/Linux 64 bit usando SMM; claro que este backdoor es más bien un instrumento de investigación que un malware - para instalarlo usted tiene que tener un hardware programador SPI y el acceso físico a la máquina objetivo, pero como indican otros investigadores también puede ser usado para armar un exploit de UEFI que infecte el firmware.
la seguridad SMM no es un tema nuevo entre investigadores, en los ultimos 10 años hubieron muchas publicaciones sobre SMM y su uso malicioso en objetivos
- "Using CPU System Management Mode to Circumvent Operating System Security Functions"
- "System Management Mode Hack, Using SMM for Other Purposes"
- "A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers"
- "SMM Rootkits: A New Breed of OS Independent Malware"
Sin embargo, la mayor parte de parte de esta investigación fue hecha durante la era de BIOS Legacy y hoy día, cuando los vendedores de ordenador habían cambiado del BIOS Legacy a UEFI, la seguridad SMM contempla aspectos relacionados en UEFI.
Muy buenas noches y pronto les daremos la siguiente parte
SKY SECURITY -- amor por la investigación
No hay comentarios:
Publicar un comentario