Puerta trasera descubierta en procesadores VIA C3 x86

En las conferencias de seguridad Black Hat 2018 y DEF CON 26 celebradas en Las Vegas la semana pasada, un investigador de seguridad detalló un mecanismo de puerta trasera en procesadores VIA C3 basados en x86, una familia de CPU producida y vendida entre 2001 y 2003 por VIA Technologies Inc de Taiwán.

La familia de CPU afectada se diseñó pensando en el uso de PC, pero era más conocida por su implementación con unidades de puntos de venta, kioscos inteligentes, cajeros automáticos, plataformas de juego, dispositivos de atención médica y equipos de automatización industrial.

El mecanismo de puerta trasera de Rosenbridge
Christopher Domas, un conocido experto en seguridad de hardware, dice que las CPU basadas en VIA C3 x86 contienen lo que denominó un “modo oculto de Dios” que permite a un atacante elevar el nivel de ejecución de código malicioso desde Kernel Ring 3 (modo de usuario) a kernel ring 0 (núcleo del sistema operativo). Vea aquí sobre anillos de protección de CPU.

Domas dice que este mecanismo de puerta trasera, al que llamó Rosenbridge, es un coprocesador RISC (Reduced Instruction Set Computer) que se encuentra junto al procesador principal C3.

El investigador dice que al usar una instrucción de lanzamiento (.byte 0x0f, 0x3f) puede voltear un bit de control de registro que habilite este coprocesador adicional, argumentando que no se beneficia de las mismas protecciones de seguridad que el conjunto de chips C3 principal.

Cualquier instrucción enviada a este coprocesador adicional se ejecuta bajo el anillo 0, y no debajo del nivel normal del anillo 3.

Domas dice que identificó esta característica de “modo oculto de Dios” en los chips VIA C3 Nehemiah, pero dice que todos los demás conjuntos de chips C3 tienen un mecanismo similar.

El experto dice que descubrió el sistema de puerta trasera de Rosenbridge mientras revisaba las patentes. En sus diapositivas DEF CON, el investigador enumera los documentos US8341419, US8880851, US9292470, US9317301, US9043580, US9141389 y US9146742.

Pero, ¿es realmente una “puerta trasera”?

Pero en los sitios de redes sociales como Twitter y Reddit, muchos otros expertos en hardware han cuestionado los hallazgos de Domas, diciendo que Rosenbridge puede no ser una verdadera puerta trasera, ya que se ha mencionado por primera vez en la documentación VIA oficial desde septiembre de 2004.

De acuerdo con este documento (página 82), el propósito oculto del coprocesador RISC es proporcionar un “conjunto de instrucciones alternativas” que ofrezca a los proveedores de hardware (OEM) más control sobre la CPU.

“Este conjunto de instrucciones alternativas incluye un conjunto extendido de instrucciones enteras, MMX, punto flotante y 3DNow! Junto con registros adicionales y algunas formas de instrucción más potentes sobre la arquitectura de instrucciones x86”, se lee en el documento.

El documento VIA también menciona que el conjunto de instrucciones adicionales está específicamente diseñado para pruebas, depuración u otras condiciones especiales, por lo tanto, la razón por la que no está “documentado para uso general”.

Rosenbridge es difícil de explotar, pero algunas veces está habilitado por defecto

La buena noticia es que esta controvertida “puerta trasera” -como Domas se explica a sí mismo- “debería requerir acceso a nivel kernel para activarse”.

Sin embargo, Domas también señala que se ha observado que el mecanismo de puerta trasera de Rosenbridge “está habilitado por defecto en algunos sistemas, lo que permite que cualquier código sin privilegios modifique el núcleo” sin ninguna explotación previa. En estos escenarios, el atacante solo necesita enviar las instrucciones especialmente diseñadas a los procesadores RISC adicionales, que estarán listos para leerlos y ejecutarlos.

El experto lanzó un repositorio de GitHub que contiene herramientas para identificar si las CPU VIA C3 x86 contienen el mecanismo de “puerta trasera” de Rosenbridge, y lo cierra para evitar cualquier posible explotación intencional o accidental. Se pueden encontrar más detalles sobre la investigación de Rosenbbridge en la presentación DEF CON de Domas.

La investigación VIA C3 no es el primer roce de Domas con la seguridad del chipset x86. Hace tres años, en la conferencia de seguridad de Black Hat 2015, Domas también detalló un método similar para elevar el nivel de ejecución del código malicioso dentro de las CPU x86 a través de la función de modo de gestión del sistema (SMM). Dijo que los procesadores basados ​​en Intel y AMD x86 se vieron afectados.

Fuente: bleepingcomputer