在VIA C3 x86处理器中发现了后门机制Rosenbridge

在上周在拉斯维加斯举行的Black Hat 2018和DEF CON 26安全会议上，一位安全研究人员详细介绍了基于x86的威盛C3处理器的后门机制，该处理器是由中国台湾VIA Technologies Inc于2001年至2003年间生产和销售的CPU系列。 。

受影响的CPU系列在设计时考虑了PC的使用，但更广为人知的是部署了销售点设备，智能信息亭，ATM，游戏设备，医疗保健设备和工业自动化设备。

罗森桥的后门机制

著名硬件安全专家Christopher Domas表示，基于VIA C3 x86的CPU包含他所谓的“隐藏神模式”，可让攻击者从内核环3（用户模式）提升恶意代码的执行级别到内核​​环0（OS内核）。请参阅此处了解CPU保护环。

Domas说，这个后门机制 - 他称之为Rosenbridge--是一个RISC（精简指令集计算机）协处理器，与主C3处理器并列。

研究人员说，通过使用启动指令（.byte 0x0f，0x3f），他可以翻转一个寄存器控制位，启用这个额外的协处理器，他认为这不会受益于主C3芯片组的相同安全保护。

发送到此附加协处理器的任何指令都在环0下运行，而不是在正常环3级下运行。

Domas表示，他在VIA C3 Nehemiah芯片中发现了这种“隐藏的上帝模式”功能，但他表示所有其他C3芯片组必然会采用类似的机制。

专家说他在筛选专利时发现了罗森桥后门系统。在他的DEF CON幻灯片中，研究人员列出了US8341419，US8880851，US9292470，US9317301，US9043580，US9141389和US9146742。

但它真的是一个“后门吗？”

但在Twitter和Reddit等社交媒体网站上，其他几位硬件专家对Domas的调查结果提出异议，称Rosenbridge可能不是真正的后门，因为它自2004年9月以来首次被官方VIA文档引用。

根据该文档（第82页），隐藏的RISC协处理器的目的是提供“备用指令集”，为硬件供应商（OEM）提供对CPU的更多控制。

“这个备用指令集包括一组扩展的整数，MMX，浮点和3DNow！指令，以及x86指令架构上的附加寄存器和一些更强大的指令形式，”该文件中写道。

VIA文档还提到附加指令集专门用于测试，调试或其他特殊条件，因此不会“记录为一般用法”。

Rosenbridge很难利用，但有时默认启用

好消息是，这个有争议的“后门” - Domas解释说自己 - “应该要求内核级访问才能激活。”

尽管如此，Domas还指出，Rosenbridge后门机制“已被观察到在某些系统上默认启用，允许任何非特权代码修改内核”，而无需任何先前的利用。在这些情况下，攻击者只需将特制的指令发送到其他RISC处理器，这些处理器即可读取并执行它们。

该专家发布了一个GitHub存储库，其中包含用于识别VIA C3 x86 CPU是否包含Rosenbridge“后门”机制的工具，并将其关闭以防止任何可能的故意或意外利用。关于Rosenbbridge研究的更多细节可以在Domas的DEF CON演示文稿中找到。

威盛C3的研究不是Domas第一次使用x86芯片组安全性。三年前，在Black Hat 2015安全会议上，Domas还详细介绍了一种类似的方法，通过系统管理模式（SMM）功能提升x86 CPU中恶意代码的执行级别。他说英特尔和基于AMD x86的处理器受到了影响。