El nuevo ataque de Spectre recupera datos del modo SMM protegido de la CPU

El nuevo ataque de Spectre recupera datos del modo SMM protegido de la CPU

Investigadores de seguridad de Eclypsium han detallado ayer una nueva variación del ataque Specter que puede recuperar datos almacenados dentro de un área de CPU segura llamada System Management Mode (SMM).

Para aquellos que no están familiarizados con el diseño de CPU, el SMM es un modo especial de los procesadores x86 que ni siquiera el software altamente privilegiado, como kernels o hipervisores, puede acceder al mismo o interrumpirlo.

¿Qué es SMM y para qué sirve?

Cada vez que se envía un código al SMM, el sistema operativo se suspende y la CPU utiliza partes del firmware UEFI / BIOS para ejecutar varios comandos con privilegios elevados y con acceso a todos los datos y a el hardware.

Durante estas "interrupciones", como se las conoce, el SMM suspende el sistema operativo y ejecuta un código específico del firmware que maneja la administración de energía, el control de hardware del sistema o el código OEM propietario; en otras palabras, mantiene el hardware funcionando sin problemas mientras el software se ejecuta en una parte superior.

Debido a su papel fundamental es para mantener vivo el hardware y sus conexiones profundas con todas las áreas del ordenador, las aplicaciones de software de cualquier tipo no pueden interactuar con SMM, por razones tanto de mantenimiento como de seguridad.

Pero el modo SMM fue diseñado y lanzado a producción a principios de los años 90, y no se incluyeron muchas protecciones desde el principio.

En las CPU Intel, el acceso al SMM está protegido por un tipo especial de registros de rango conocido como Registro de Rango de Administración del Sistema (SMRR).

Los investigadores modifican el ataque de Specter para acceder a la memoria SMM

En una investigación publicada el jueves, el equipo de Eclypsium modificó uno de los códigos públicos de prueba de concepto lanzados para la vulnerabilidad de la variante de Specter 1 (CVE-2017-5753) para eludir el mecanismo de protección SMRR y acceder a los datos almacenados dentro de la RAM de la administración del sistema (SMRAM): el área de la memoria física donde SMM almacena y ejecuta sus datos de trabajo.

"Estos ataques mejorados de Specter permiten a un atacante sin privilegios leer los contenidos de la memoria, incluida la memoria que debería estar protegida por los registros de rango, como la memoria SMM", dice el equipo de Eclypsium.

"Esto puede exponer el código SMM y los datos que se pretendía que fueran confidenciales, revelando otras vulnerabilidades de SMM así como los secretos almacenados en SMM", dijeron los investigadores.

Además, dado que el ataque fue exitoso al revelar datos SMRAM y SMM, el equipo de Eclypsium también cree que podría usarse para revelar otro tipo de información almacenada dentro de la memoria física, no solo la relacionada con SMM.

Los parches originales de Spectre protegerán a los usuarios

Si bien su ataque experimental fue diseñado para solucionar la vulnerabilidad de la variante 1 de Specter, los investigadores dijeron que el uso de la variante 2 de Specter (CVE-2017-5715) también puede lograr los mismos resultados.

Los investigadores dijeron que notificaron a Intel sobre su nueva variación de ataque de Spectre en marzo. Intel dice que los parches originales para la variante Specter 1 y la variante 2 deberían ser suficientes para bloquear la cadena de ataque descubierta por el equipo de Eclypsium.

El informe Eclypsium proporciona una inmersión técnica más profunda en el ataque del equipo de investigación. Eclypsium está encabezado por Yuriy Bulygin, el ex jefe del equipo de investigación de amenazas avanzadas de Intel en Intel Security y el equipo de análisis de seguridad de microprocesadores en Intel Corporation. También es el creador del marco de seguridad de código abierto CHIPSEC.

Esta tampoco es la primera variante de la vulnerabilidad original de Specter. Otros ataques relacionados con Spectre incluyen SgxSpectre, BranchScope y SpectrePrime.

Read more