黑客解鎖CPU“上帝模式” 包括硬件后門
作者:星期六, 八月 18, 20180

美國黑帽大會和Defcon安全大會上,研究員 Christopher Domas 演示了他是如何發現多種CPU可能存在的后門的。

房間里數百位安全專家一起鼓掌的場面值得注意,如果掌聲是在演示開始5分鐘之內出現,那就值得大書特書了。上周美國黑客大會上在安全研究員 Christopher Domas 講述如何破解現代CPU安全中所謂的Ring權限模型時,出現了這樣的場景。

在硬件層,不同類型的賬戶分配有不同的Ring權限,普通用戶在Ring3,系統管理員在Ring0。Domas用4個十六進制字符組成的字符串黑掉了Ring模型。此類攻擊可使普通用戶進程獲取到內核級控制權,以超出大多數安全軟件的權限執行——繞過當前反惡意軟件和硬件控制系統所用的絕大多數技術。

Domas以對x86指令集的解構而蜚聲安全研究界,他將本次演講命名為《解鎖上帝模式:X86 CPU中的硬件后門》。在本屆黑客大會和Defcon安全大會上,他不僅證明了自己可以解鎖上帝模式,還將自己的做法共享給了全世界。

幸運的是,該研究并非全無限制。被破解的處理器相對較老,是通常應用在嵌入式系統市場的 C2 Mehemiah 處理器核。但作為概念驗證,該研究對IT安全有著深遠影響。

Domas發現的小秘密,就是利用模型特定寄存器(MSR:編程常用寄存器之外的特殊CPU寄存器),指示CPU去做其設計者本不希望CPU去做的事。而且,這個小秘密不僅僅存在于已知MSR中,而是存在于包括未見于任何文檔描述的MSR在內的眾多MSR中

Domas的研究計算機群由多臺執行特定指令的計算機組成,并會報告哪些返回了故障情況。

在目標CPU上,Domas發現了1300個MSR。他覺得探索全部MSR耗時太久,便開發了一種方法,基于指令從發送到返回執行結果的時間,來判斷不同于其他常用寄存器功能的特殊MSR。

Domas分析了一系列專利芯片,發現現代英特爾架構CPU的x86核心上還有一個隱藏的神秘核心。該核心被Domas命名為DEC,是軟件開發人員基本上毫無所知的二級核心,與x86共享部分指令流水,用于驅動開發人員所不知道的那些功能。但這個核心也是有自身架構的實體。

Domas猜測,訪問DEC需要用到一個全局配置寄存器和一條啟動指令——這兩樣東西都未見諸于任何文檔中。他的研究自此進入精華部分。

Domas逆向研究了DEC的架構和指令集。DEC指令集研究耗費了4000小時的計算時間,產生出15GB的日志數據。對日志的分析,揭示了用于啟動DEC、完成任務和完全繞過Ring權限模型保護的指令

于是,受限用戶賬戶也可以像系統管理員那樣悄無聲息地執行代碼了。這將會破壞幾乎所有在用的反惡意軟件程序和設備安全系統。

不過,因為涉及到的CPU比較老,應用也不是很廣泛,該CPU漏洞不太可能被用來對企業進行大規模攻擊。但正如Domas所言,作為概念驗證,該漏洞可能會促使其他研究人員去探尋更為現代、應用更廣的CPU中有無類似漏洞。

Domas已將其工具集發布到了GitHub的 Rosenbridge 項目,并正積極尋求其他研究人員加入并延續該項工作。

相關閱讀

英特爾CPU曝重大設計缺陷:Linux、Windows需修改內核

犧牲安全換速度的惡果:英特爾芯片再添3個數據泄露安全漏洞

 

分享:
0

相關文章

寫一條評論

 

 

0條評論