在VIA C3 x86处理器中发现了后门机制Rosenbridge

在上周在拉斯维加斯举行的Black Hat 2018和DEF CON 26安全会议上,一位安全研究人员详细介绍了基于x86的威盛C3处理器的后门机制,该处理器是由台湾VIA Technologies Inc于2001年至2003年间生产和销售的CPU系列。 。

受影响的CPU系列在设计时考虑了PC的使用,但更广为人知的是部署了销售点设备,智能信息亭,ATM,游戏设备,医疗保健设备和工业自动化设备。

罗森桥的后门机制

著名硬件安全专家Christopher Domas表示,基于VIA C3 x86的CPU包含他所谓的“隐藏神模式”,可让攻击者从内核环3(用户模式)提升恶意代码的执行级别到内核​​环0(OS内核)。请参阅此处了解CPU保护环。

Domas说,这个后门机制 - 他称之为Rosenbridge--是一个RISC(精简指令集计算机)协处理器,与主C3处理器并列。

研究人员说,通过使用启动指令(.byte 0x0f,0x3f),他可以翻转一个寄存器控制位,启用这个额外的协处理器,他认为这不会受益于主C3芯片组的相同安全保护。

发送到此附加协处理器的任何指令都在环0下运行,而不是在正常环3级下运行。

Domas表示,他在VIA C3 Nehemiah芯片中发现了这种“隐藏的上帝模式”功能,但他表示所有其他C3芯片组必然会采用类似的机制。

专家说他在筛选专利时发现了罗森桥后门系统。在他的DEF CON幻灯片中,研究人员列出了US8341419,US8880851,US9292470,US9317301,US9043580,US9141389和US9146742。

但它真的是一个“后门吗?”

但在Twitter和Reddit等社交媒体网站上,其他几位硬件专家对Domas的调查结果提出异议,称Rosenbridge可能不是真正的后门,因为它自2004年9月以来首次被官方VIA文档引用。

根据该文档(第82页),隐藏的RISC协处理器的目的是提供“备用指令集”,为硬件供应商(OEM)提供对CPU的更多控制。

“这个备用指令集包括一组扩展的整数,MMX,浮点和3DNow!指令,以及x86指令架构上的附加寄存器和一些更强大的指令形式,”该文件中写道。

VIA文档还提到附加指令集专门用于测试,调试或其他特殊条件,因此不会“记录为一般用法”。

Rosenbridge很难利用,但有时默认启用

好消息是,这个有争议的“后门” - Domas解释说自己 - “应该要求内核级访问才能激活。”

尽管如此,Domas还指出,Rosenbridge后门机制“已被观察到在某些系统上默认启用,允许任何非特权代码修改内核”,而无需任何先前的利用。在这些情况下,攻击者只需将特制的指令发送到其他RISC处理器,这些处理器即可读取并执行它们。

该专家发布了一个GitHub存储库,其中包含用于识别VIA C3 x86 CPU是否包含Rosenbridge“后门”机制的工具,并将其关闭以防止任何可能的故意或意外利用。关于Rosenbbridge研究的更多细节可以在Domas的DEF CON演示文稿中找到。

威盛C3的研究不是Domas第一次使用x86芯片组安全性。三年前,在Black Hat 2015安全会议上,Domas还详细介绍了一种类似的方法,通过系统管理模式(SMM)功能提升x86 CPU中恶意代码的执行级别。他说英特尔和基于AMD x86的处理器受到了影响。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/backdoor-mechanism-discovered-in-via-c3-x86-processors/

扫码关注云+社区

领取腾讯云代金券