美國黑帽大會和Defcon安全大會上,研究員 Christopher Domas 演示了他是如何發現多種CPU可能存在的後門的。
房間裡數百位安全專家一起鼓掌的場面值得注意,如果掌聲是在演示開始5分鐘之內出現,那就值得大書特書了。上週美國黑客大會上在安全研究員 Christopher Domas 講述如何破解現代CPU安全中所謂的Ring權限模型時,出現了這樣的場景。
在硬件層,不同類型的賬戶分配有不同的Ring權限,普通用戶在Ring3,系統管理員在Ring0。Domas用4個十六進制字符組成的字符串黑掉了Ring模型。此類攻擊可使普通用戶進程獲取到內核級控制權,以超出大多數安全軟件的權限執行——繞過當前反惡意軟件和硬件控制系統所用的絕大多數技術。
Domas以對x86指令集的解構而蜚聲安全研究界,他將本次演講命名為《解鎖上帝模式:X86 CPU中的硬件後門》。在本屆黑客大會和Defcon安全大會上,他不僅證明了自己可以解鎖上帝模式,還將自己的做法共享給了全世界。
幸運的是,該研究並非全無限制。被破解的處理器相對較老,是通常應用在嵌入式系統市場的 C2 Mehemiah 處理器核。但作為概念驗證,該研究對IT安全有著深遠影響。
Domas發現的小秘密,就是利用模型特定寄存器(MSR:編程常用寄存器之外的特殊CPU寄存器),指示CPU去做其設計者本不希望CPU去做的事。而且,這個小秘密
不僅僅存在於已知MSR中,而是存在於包括未見於任何文檔描述的MSR在內的眾多MSR中。Domas的研究計算機群由多臺執行特定指令的計算機組成,並會報告哪些返回了故障情況。
在目標CPU上,Domas發現了1300個MSR。他覺得探索全部MSR耗時太久,便開發了一種方法,基於指令從發送到返回執行結果的時間,來判斷不同於其他常用寄存器功能的特殊MSR。
Domas分析了一系列專利芯片,發現現代英特爾架構CPU的x86核心上還有一個隱藏的神秘核心。該核心被Domas命名為DEC,是軟件開發人員基本上毫無所知的二級核心,與x86共享部分指令流水,用於驅動開發人員所不知道的那些功能。但這個核心也是有自身架構的實體。
Domas猜測,訪問DEC需要用到一個全局配置寄存器和一條啟動指令——這兩樣東西都未見諸於任何文檔中。他的研究自此進入精華部分。
Domas逆向研究了DEC的架構和指令集。DEC指令集研究耗費了4000小時的計算時間,產生出15GB的日誌數據。對日誌的分析,揭示了用於啟動DEC、完成任務和完全繞過Ring權限模型保護的指令 。
於是,受限用戶賬戶也可以像系統管理員那樣悄無聲息地執行代碼了。這將會破壞幾乎所有在用的反惡意軟件程序和設備安全系統。
不過,因為涉及到的CPU比較老,應用也不是很廣泛,該CPU漏洞不太可能被用來對企業進行大規模攻擊。但正如Domas所言,作為概念驗證,該漏洞可能會促使其他研究人員去探尋更為現代、應用更廣的CPU中有無類似漏洞。
Domas已將其工具集發佈到了GitHub的 Rosenbridge 項目,並正積極尋求其他研究人員加入並延續該項工作。
閱讀更多 安全牛 的文章
