Хакер обнаружил скрытый «режим Бога» в старых процессорах

Исследователь кибербезопасности Кристофер Домас (Christopher Domas) рассказал, что некоторые построенные на архитектуре х86 процессоры имеют возможность получения корневых полномочий с помощью команды скрытому RISC-чипу. Об уязвимости стало известно на прошедшей 9 августа 2018 года в Лас-Вегасе конференции Black Hat.

Как включить «режим Бога»?

По словам специалиста, доступ к правам суперпользователя можно получить с помощью «несуществующей» Linux-команды .byte 0x0f, 0x3f:

Она разрушает кольца защиты ОС и позволяет контролировать систему прямо из пользовательского окружения за 4 байта. Согласно этой модели, архитектуру информационной безопасности можно изобразить в виде 4 концентрических колец с убыванием привилегий:

• 0 — ядро;
• 1 и 2 — драйверы устройств;
• 3 — приложения и пользовательское окружение.

«Режим Бога», найденный Домасом, эксплуатирует уязвимость в скрытом чипе с сокращенным набором команд (RISC), который расположен рядом с ядром x86-процессора и имеет к нему неограниченный доступ.

Какие чипы под угрозой?

По данным специалиста, ошибке подвержены построенные на архитектуре х86 процессоры VIA C3 Nehemiah, созданные в 2003 году и используемые во встраиваемых системах и тонких клиентах. Однако брешь в безопасности может находиться и в других чипах.

Исследователь обнаружил уязвимость путем анализа патентов компании. Среди них он нашел US8341419, в котором упоминались «прыжки» между кольцами 0 и 3 для защиты от эксплойтов в моделезависимых регистрах (MSR).

Затем специалист собрал установку из семи основанных на Nehemiah тонких клиентов, подключенных к силовому реле, которое перезапускало машины каждые две минуты для недопущения поломки. Спустя две недели тестирования он разработал инструкцию для получения прав суперпользователя с помощью скрытого RISC-чипа.

К счастью, нам ведь нужен доступ к кольцу 0 для получения прав, верно? Нет. В некоторых процессорах VIA C3 x86 «режим Бога» включен по умолчанию, поэтому никакие защитные механизмы не помогут.

Исследователь выложил все инструкции и инструменты для проверки процессора на наличие дополнительного чипа в своем GitHub-профиле.

В июне 2018 года инженеры из Intel опубликовали отчет о новой уязвимости процессов семейств Intel Core и Xeon, начиная с Sandy Bridge. Она заключается в получении несанкционированного доступа к значениям регистров, которые используются другими процессами. В них могут содержаться криптографические параметры для получения ключей шифрования.