Een beveiligingslek in tal van Intel-processors stelt aanvallers in staat om rechten van ring 0 te verhogen naar system management mode waardoor een moeilijk te detecteren rootkit kan worden geplaatst, zo hebben twee onderzoekers ontdekt.

Zowel de Poolse rootkitexpert Joanna Rutkowska als Loíc Duflot ontdekten dat het cachemechanisme van Intel-processors te misbruiken valt. Zij zullen hun ontdekking op twee verschillende conferenties publiceren.

Tijdens de laatste Black Hat-conferentie demonstreerde Rutkowska al een aanval op de Trusted Execution Technology van Intel. Het was de onderzoekers gelukt om onbetrouwbare code te laden, terwijl de Trusted Execution Technology juist ontworpen is zoiets te voorkomen.

Na de presentatie werd Rutkowska benaderd door iemand die vroeg of een SMM-aanval via CPU caching mogelijk zou zijn. Eenmaal terug in Polen ging ze daarmee direct aan de slag en boekte ze al binnen een paar uur succes.

Het beveiligingslek en de werkende exploit meldde ze bij Intel, dat liet weten dat ze niet de eerste was die het lek ontdekt had. Loíc had het lek drie tot vier maanden eerder ontdekt, maar ook hij was niet de eerste. In 2005 besprak een Intel-werknemer al de aanval.

"Geef onderzoekers dus niet de schuld als ze informatie over lekken publiceren, ze doen de bevolking juist een gunst", zo waarschuwt Rutkowska, omdat ongepatchte lekken uiteindelijk toch wel ontdekt zullen worden.

Volgens de Poolse heeft de man die haar op de Black Hat-conferentie benaderde zeker al een exploit voor het lek, echter heeft hij het niet gemeld aan Intel. "Je vraagt je af wat hij met zijn exploit aan het doen is. Wanneer was de laatste keer dat je je systeem op SMM-rootkits controleerde?"