The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от opennews (ok) on 14-Май-11, 18:01 
Йоанна Рутковска (Joanna Rutkowska), автор руткита Blue Pill, операционной системы Qubes OS и руководитель Invisible Things Lab, опубликовала (http://theinvisiblethings.blogspot.com/2011/05/following-whi...) документ (http://www.invisiblethingslab.com/resources/2011/Software�...), в котором представила стразу три способа обхода защиты механизма виртуализации Intel VT-d (IOMMU), используемого в Xen и других гипервизорах для проброса реальных устройств на шине PCI в виртуальный домен. Все три метода основаны на возможности отсылки прерывания формата MSI с произвольным вектором прерывания из непривилегированного домена, имеющего доступ к адресному пространству устройства.


В первом случае используется генерация подложного SIPI-прерывания (Sturt-up Inter Processor Interrupt), которое в нормальной ситуации применяется в BIOS для активации всех ядер/процессоров системы. Легальные SIPI-прерывания могут быть инициированы только самим...

URL: http://theinvisiblethings.blogspot.com/2011/05/following-whi...
Новость: http://www.opennet.dev/opennews/art.shtml?num=30556

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +1 +/
Сообщение от AHAHAC (ok) on 14-Май-11, 18:01 
Яна что-то долго курила,

CPU bugs, CPU backdoors and consequences on security

Loïc Duflot

Received: 10 September 2008
Accepted: 15 November 2008
Published online: 9 December 2008

http://www.springerlink.com/content/d277442160362076/

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  –1 +/
Сообщение от letsmac (ok) on 14-Май-11, 18:32 
Это не Яна курит - она как раз в 2008 и опубликовала. Просто в Ring0 дыр столько - что это вообще мелочи. Да и выше Ring 0  есть еще уровни.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +14 +/
Сообщение от pavlinux (ok) on 14-Май-11, 18:43 
Не, тетка клёвая, после Ковалевской, Кюри и Белки со Стрелкой. :)
Ей надо медаль дать только за то, что осилила Intel Software Development Manual.
И не просто прочитала, а вникла, поняла и нашла косяки.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  –2 +/
Сообщение от сальная сальвия on 14-Май-11, 22:23 
>Ей надо медаль дать только за то, что осилила Intel Software Development Manual.

И чего там такого сложного? Всё очень понятно и просто.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

27. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +1 +/
Сообщение от Анонима on 15-Май-11, 05:28 
Зачёл статью и исходя из своих скудных знаний могу заключить, что ценность атаки практически нулевая, Яна исходит из того, что во время исполнения одного прерывания, в котором она (гипервизор) запрашивает много данных из медленной памяти устройства периферии (сетевухи к примеру), атакующий выполняет ещё одно прерывание (MSI), которое возвращается с ошибкой. Ключевым является момент, что процессор при исполнении второго прерывания хоть и запоминает регистры для первого, но при возвращении забывает восстановить один из них (%rax - собственно результат операции), а он в дальнейшем используется для вычислений. Причём надо заметить, что атака в основном направлена именно на реализацию в Xen.

Итого: хоть теоретический анализ потрясает (меня во всяком случае), но я не представляю как такое можно применить на практике. Пока атакующий будет искать подходящие значения,чтобы переписать IDT (опять же как я понял это цель атаки, чтобы получить доступ в родительскую систему) он закрашит супервизор раз 100500, и надо не забывать, что ему ещё надо удачно попасть на медленную инструкцию копирования при прерывании.

Возможно интел решил, что закрывать такую "дыру" экономически нецелесообразно. Xen'овцы впрочем уже что-то у себя запатчили.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

56. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от prapor (??) on 16-Май-11, 10:57 
Падение гипервизора - уже DoS. Т.е. уже для хулиганов есть результат.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

43. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Аноним (??) on 15-Май-11, 20:25 
> Просто в Ring0 дыр столько - что это вообще мелочи.

Дыры под Ring 0 ака дыры в "Ring -1" это не мелочи. Благодаря таким мелочам, может завестись дрянь которую вы не видите и даже самый злобный антивирь из режима ядра никогда не сможет это увидеть.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

4. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от ФБР on 14-Май-11, 18:12 
Таких специалистов бы с десяток и в лабораторию под патронажем спецлужб какой-нибудь страны и можно сказать, что оружие 21 века в области ИТ создано, контролируется  и там где надо применяется.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +1 +/
Сообщение от pavlinux (ok) on 14-Май-11, 18:15 
Плохого мнения ты о спецслужбах... ;)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

39. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +2 +/
Сообщение от alex (??) on 15-Май-11, 17:11 
Только до неба спецслужбы тоже не превозносите. Прямо скажем уровень намного меньше чем те что ходят в мифах о этих самых спецслужбах.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

49. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от pavlinux (ok) on 16-Май-11, 00:24 
> Только до неба спецслужбы тоже не превозносите. Прямо скажем уровень намного меньше
> чем те что ходят в мифах о этих самых спецслужбах.

Ну как бэ доказательства и руткиты с иcпользованием VMX я видел ещё в 2006 году.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

35. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Серж (??) on 15-Май-11, 16:01 
А ты думаешь, все так и побегут работать на спецслужбы?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

44. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +1 +/
Сообщение от Аноним (??) on 15-Май-11, 20:29 
> Таких специалистов бы с десяток и в лабораторию под патронажем спецлужб какой-нибудь
> страны и можно сказать, что оружие 21 века в области ИТ создано,

Проблема только в том что во первых, спецслужбы не любят платить хорошую по мировым уровням зарплату уникальным специалистам. Поэтому там чаще всего работают сертифицированные раздолбаи, которых в более высокооплачиваемые места не взяли. Во вторых, у спецслужб напрочь вымораживающая бюрократия, не способствующая росту специалиста и его успешной работе над проблемой. Делают для галочки. В третьих, руткит вызовет ряд аномалий и рано или поздно будет обнаружен.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Лопато on 14-Май-11, 18:14 
Изменение MSI через ping это клёво! :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +6 +/
Сообщение от pavlinux (ok) on 14-Май-11, 18:34 
Зачем покупать процессоры Intel серии Sandy Bridge
чтоб был доступен Interrupt Remapping, если можно
вообще не покупать продукцию Intel?! :)

Короча так и запишем - Сетевухи Intel e1000e унылое  г...о,
Intel VT-d дырявый тормоз.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  –1 +/
Сообщение от bircoph (ok) on 14-Май-11, 23:07 
Как бы AMD-v поломали ещё раньше...
если почитать повнимательнее про работы этой же Рутковской
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

23. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Аноним (??) on 15-Май-11, 00:54 
>Как бы AMD-v поломали ещё раньше...

Пруфлинк или не было.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

33. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +1 +/
Сообщение от bircoph (ok) on 15-Май-11, 13:13 
http://en.wikipedia.org/wiki/Blue_Pill_(malware)

Blue Pill is the codename for a controversial rootkit based on x86 virtualization. Blue Pill originally required AMD-V (Pacifica) virtualization support, but was later ported to support Intel VT-x (Vanderpool) as well.

Я сам больше люблю AMD по ряду причин, но истина дороже.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

34. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +2 +/
Сообщение от ПолныйАнонимус on 15-Май-11, 13:19 
а разве там не все равно какая система виртуализации используется - главное чтобы она была в железе? вначале сделали на АМД, потом на Интеле.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

36. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +2 +/
Сообщение от Анон on 15-Май-11, 16:12 
Истина дороже и она в том, что amd-v никто не ломал :)

Blue Pill - это просто прототип руткита, способного скрывать своё присутствие в системе, используя технологию аппаратной поддержки виртуализции (любую, просто поддержку амд-в запилили раньше), а вовсе не малварь, способная выходить за пределы аппаратно-поддержанного гипервизора, как в топике. Т.е. утверждать, что этот руткит взломал AMD-V - всё равно, что утверждать, что любая малварь взломала x86, потому что использует его инструкции :)

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

57. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Alex (??) on 16-Май-11, 21:33 
Вы не путаете часом IOMMU с VMX? Интересно, а AMD 890FX IOMMU также уязвим, или...
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

45. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +1 +/
Сообщение от Аноним (??) on 15-Май-11, 20:40 
> Зачем покупать процессоры Intel серии Sandy Bridge

Чтобы интел мог ремотно выключать свой процессор СМСкой, разумеется.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  –1 +/
Сообщение от Zenitur (ok) on 14-Май-11, 19:17 
AMD как всегда молодцы. У Интелов я вижу новость о сбоях вроде этого второй раз. Первый существовал с 80386 и только на нём.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Аноним (??) on 14-Май-11, 23:57 
Ну раз ты не слышал, то да, конечно, все хорошо.

Вообще-то и в тех и в других за всю историю проскакивала куча багов и эксплоитов, о которых интернет-бездельники, разумеется, знать не знают.

Баг в x86_64 NOP, AMD K6-2 LOOP, баг в FPU пентиумов, баг 0xF00F в Pentium 2, баг в первых атлонах с MTRR, баг с делением в VIA C3... это очень навскидку.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Stax (ok) on 15-Май-11, 02:31 
Про баг в ранних Phenom с TLB, лочащий систему тоже не стоит забывать :)

А что такое "x86_64 NOP"?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

30. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Зенитар on 15-Май-11, 09:36 
> Про баг в ранних Phenom с TLB, лочащий систему тоже не стоит
> забывать :)
> А что такое "x86_64 NOP"?

Сейчас тебе скажут "как ты можешь не знать, ты что интернет-бездельник?!"

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

32. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от bockla on 15-Май-11, 11:44 
> А что такое "x86_64 NOP"?

Видимо это когда 90h вместо традиционного недо-NOP неожиданно (для авторов компиляторов) стирало верхние 32 бит RAX, что привело к нескольким уязвимостям.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

46. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Аноним (??) on 15-Май-11, 20:41 
> Про баг в ранних Phenom с TLB, лочащий систему тоже не стоит забывать :)

Лочащий - не хакающий. К тому же выпустили воркэраунд на уровне BIOS.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

54. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Аноним (??) on 16-Май-11, 09:31 
> Лочащий - не хакающий.

Особой разницы нет - навредить и этого хватит.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

29. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Зенитар on 15-Май-11, 09:35 
Я же не припоминаю Intel'ам их баги с пентиумами до 100 МГц, а только свежие найденные.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

40. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Андрей (??) on 15-Май-11, 18:43 
как раз в 90MHz-вом ошибка с делением была
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

41. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Андрей (??) on 15-Май-11, 18:44 
> как раз в 90MHz-вом ошибка с делением была

даже формулу для вендового алькулятора вывели, чтоб экспресс-тест провести

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

47. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Аноним (??) on 15-Май-11, 20:46 
> даже формулу для вендового алькулятора вывели, чтоб экспресс-тест провести

Был также баг, когда некая последовательность байтов намертво вешала процессоры пентиум. Независимо от уровня привилегий. То-есть, бесправненький юзер в супернадежном qnx мог без проблем повесить всю систему, просто пхнув в проц "кривую" команду. Что вообще-то довольно существенная ошибка для процессора с разными уровнями привилегий.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

51. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Аноним (??) on 16-Май-11, 02:28 
См. пост выше, F00F - это оно и есть.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

13. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Аноним (??) on 14-Май-11, 19:32 
А если я эту функцию отключу в биосе, потому что она мне не нужна. то и багу отключу?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от linux_must_die (ok) on 14-Май-11, 19:40 
те тебе виртуализация не нужна?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +1 +/
Сообщение от Wormik (ok) on 14-Май-11, 21:23 
Виртуализация возможна и без аппаратной. В статье на Википедии про AMD64 сказана интересная вещь о том, почему в 64-битной системе без аппаратной виртуализации виртуализация возможна на AMD, а на Intel невозможна. В 32-битной возможна у обоих.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Michael Shigorin email(ok) on 14-Май-11, 23:48 
VT-d != VT
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +2 +/
Сообщение от Аноним (??) on 14-Май-11, 19:48 
Нужна, мне не нужен проброс PCI устройств внутрь гостя
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +1 +/
Сообщение от Аноним (??) on 14-Май-11, 23:17 
Полагаю что без проброса PCI не нужна и функция VT-d, а значит нету и баги в таком случае. Или я все же не прав?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +1 +/
Сообщение от c0rax (ok) on 15-Май-11, 02:42 
>Короча так и запишем - Сетевухи Intel e1000e унылое  г...о,
>Intel VT-d дырявый тормоз.

Эм.. а что с сетевухами e1000e не так?
Нет, действительно что там?
Реально ничего по этому поводу не слышал, поэтому и интересуюсь для своего/общего интереса/развития..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +2 +/
Сообщение от Stax (ok) on 15-Май-11, 16:16 
всегда работают нормально и без глюков. В отличие от иногда странно себя ведущих broadcom и marvell.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

38. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от sage (??) on 15-Май-11, 16:29 
А как же эпичный баг, когда линуксовый драйвер сжигал сетевухи e1000?
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

53. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Аноним (??) on 16-Май-11, 08:03 
> А как же эпичный баг, когда линуксовый драйвер сжигал сетевухи e1000?

Господи, засирание еепрома уже эпичным багом называется. А cih тогда что? Совсем эпичный абзац, да?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

55. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +1 +/
Сообщение от Аноним (??) on 16-Май-11, 09:33 
Хм, вообще-то да.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

50. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от pavlinux (ok) on 16-Май-11, 00:35 
>>Короча так и запишем - Сетевухи Intel e1000e унылое  г...о,
>>Intel VT-d дырявый тормоз.
> Эм.. а что с сетевухами e1000e не так?
> Нет, действительно что там?
> Реально ничего по этому поводу не слышал, поэтому и интересуюсь для своего/общего
> интереса/развития..

Generating MSI without access to device config space

However, we have discovered that even without access to the device configuration space 10, still in case of
many devices the driver would be able to program the device to generate an MSI, and consequently could
still mount a software-only attack against VT-d. This is because many devices support a so called Scatter
Gather mechanism, that allows to split one DMA transaction into several smaller ones, each destined to a
different memory location11.
The idea is to use such a scatter gather mechanism in order to generate a 4-byte memory write transaction
that will just happen to be destined to a special 0xfeeXXXXX address – in other words to generate MSI using
regular DMA write.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

42. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от c0rax (ok) on 15-Май-11, 20:13 
>А как же эпичный баг, когда линуксовый драйвер сжигал сетевухи e1000?

Ну все же.. это бага драйвера, а не самой сетевухи..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Уязвимость в механизме виртуализации Intel VT-d позволяет вы..."  +/
Сообщение от Карбофос (ok) on 18-Май-11, 21:27 
да уж... это драйвер надо было с костылём писать чтоли?
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру