"God Mode" sui processori VIA, tutto grazie a una backdoor

Durante la conferenza Black Hat tenutasi a Las Vegas, il ricercatore Christopher Domas ha affermato di aver scoperto una backdoor, presente solamente sui vecchi VIA C3 Nehemiah, che consentirebbe di ottenere i permessi di root semplicemente inviando un comando a un core RISC non documentato che avrebbe il compito di gestire la CPU principale.

Il comando in questione è ".byte 0x0f, 0x3f" e secondo Domas "non dovrebbe esistere, non ha un nome e fornisce i permessi di amministratore all'istante", abilitando quella che lui stesso definisce "God Mode".

Il VIA C3 Nehemiah risale al 2003 ed era usato principalmente in sistemi embedded e nei cosiddetti "Thin Client". Domas ha scovato la backdoor spulciando nei brevetti depositati dall'azienda e trovandone uno in cui si parla di un salto dall'anello 3 all'anello 0 e di come proteggere il chip da eventuali exploit del MSR.

aHR0cDovL21lZGlhLmJlc3RvZm1pY3JvLmNvbS9TL1YvNzkwMzAzL29yaWdpbmFsLzE1MzM4NTk0MzQxOTYuanBn

Continuando a controllare i vari brevetti, Domas ha trovato menzionati diversi modelli di chipset. A questo punto ha deciso di recuperare dei vecchi VIA C3 e ha costruito una macchina per i test, composta da sette Thin Client basati sulle CPU Nehemiah e da un sistema in grado di riavviare i singoli client ogni due minuti circa, in quanto spesso i test facevano crashare i sistemi.

Questi processori usano un sistema di protezione ad anelli. Nell'anello 0, il più interno, si trova il kernel del sistema operativo, negli anelli 1 e 2 si trovano i driver dei dispositivi ed infine nell'anello 3 si trovano le applicazioni e l'interfaccia utente.

Il core RISC trovato da Domas si trova allo stesso livello della CPU e ha un accesso non ristretto alla stessa, tant'è che il ricercatore lo ha definito "anello -4", seguendo la teoria per cui il virtual machine monitor e il chip management system possono essere visti come gli anelli -1 e -2.

633px Priv rings svg
La backdoor rompe completamente il sistema di protezione, permettendo di passare direttamente dall'anello 3 all'anello 0. Secondo Domas in alcuni processori questa "God Mode" è abilitata di default e l'exploit non può essere mitigato da nessuna misura di sicurezza, nemmeno da antivirus o da sistemi come la casualizzazione dello spazio degli indirizzi (ASLR).

Il ricercatore ha anche affermato che è possibile che exploit di questo genere esistano su altri processori. La sua ricerca e un tool per verificare la presenza sul proprio VIA C3 di questo core RISC (ed eventualmente disabilitarlo) sono disponibili sulla sua pagina di GitHub.


Tom's Consiglia

Se non avete problemi con l'inglese e volete saperne di più di sicurezza informatica, il libro di Wenliang Du offre un'ottima panoramica di questo campo. 

 

 

Pubblicità

AREE TEMATICHE