Black Hat 2018|VIA C3 x86 处理器中被指存在后门机制
翻译:360代码卫士团队
在上周拉斯维加斯举行的2018黑帽大会和第26届 DEF CON 安全会议上,安全研究员详述了基于 x86 的 VIA C3 处理器中的后门机制。VIA C3 处理器是由台湾 VIA 技术公司在2001年至2003年生产并出售的 CPU 家族。
虽然受影响的 CPU 家族为个人电脑而设计,但因部署在销售点单元、智能信息亭、ATM、游戏设备、医疗保健设备和工业自动化设备。
Rosenbridge 后门机制
知名硬件安全专家 Christopher Domas 指出,VIA C3 x86 CPU 中包含一个“隐匿的上帝模式”,可导致攻击者将恶意代码的执行级别从内核3层(用户模式)提升至内核0层(操作系统内核)。
Domas 指出,这个被称为 “Rosenbridge” 的后门机制是一个 RISC(精简指令集计算机)协处理器,与主 C3 处理器并列。
Domas 表示,通过使用启动指令 (.byte oxof, ox3f),他可以翻转一个寄存器控制位以启用这个额外的协处理器,但他表示该协处理器未得到和主 C3 芯片组相同的安全保护措施。发送至这个附加协处理器的任何指令都在0层下运行,而非在正常的3层下运行。
Domas 指出在 VIA C3 Nehemiah 芯片中找到这个“隐匿的上帝模式”功能,但表示其它所有 C3 芯片集也存在类似机制。他表示在浏览专利时发现了这个 Rosenbridge 后门系统。在 DEF CON 大会上,Domas 列出的专利号包括 US8341419、US8880851、US9292470、US9317301、US9043580、US9141389 和US9146742。
真的是后门吗?
但其他硬件专家在推特和 Reddit 等社交媒体平台上对此提出异议,他们认为 Rosenbridge 可能并非是真正的后门,因为自2004年9月起,官方 VIA 文档中就首次提到了它。
文档(第82页)指出,隐匿的 RISC 协处理器的目的是提供“备用指令集”,为硬件供应商 (OEM) 提供对 CPU 的更多控制。文档提到,“这个备用指令集包括一组扩展的整数、MMX、浮点和 3DNow! 指令,以及 x86 指令架构上的附加寄存器和一些更强大的指令形式。”另外,文档提到该附加指令集专门用于测试、调试或其它特殊条件,因此并非“为一般用法所记录”。
Rosenbridge 难遭利用,但有时默认启用
好在这个具有争议的“后门”,“应该要求内核权限访问才能激活”。
尽管如此,Domas 还指出,Rosenbridge 后门机制“在某些系统默认启用,可导致任何非权限代码修改内核”,而无需任何预先利用。在这些场景中,攻击者仅需要将特别编制的指令发送给其它 RISC 处理器,读取并执行。
Domas 发布包含工具的 GitHub 仓库以识别 VIA C3 x86 CPU 是否包含 Rosenbridge “后门”机制,并关闭以阻止任何可能的有意或无意利用。
这项 VIA C3 研究并非第一次关注 x86 芯片集安全。三年前,在2015年的黑帽大会安全大会上,Domas 还详述了一种通过系统管理模式 (SMM) 功能提升恶意代码执行级别的简单方法他表示英特尔和 AMD x86处理器受影响。
关联阅读
原文链接
https://www.bleepingcomputer.com/news/security/backdoor-mechanism-discovered-in-via-c3-x86-processors/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。