Un hacker encuentra oculto el "God Mode" (Modo Dios) en antiguas CPU x86

Un hacker encuentra oculto el "God Mode" (Modo Dios) en antiguas CPU x86

Algunas CPU x86 tienen puertas traseras ocultas que le permiten aprovechar la raíz al enviar un comando a un núcleo RISC no documentado que administra la CPU principal, dijo el jueves el investigador de seguridad Christopher Domas en la conferencia Black Hat (9 de agosto).

Una puerta trasera es una secuencia secreta que te permite esquivar los mecanismos de seguridad de un sistema para acceder a él.

El investigador de seguridad Christopher Domas ha encontrado una puerta trasera en una familia de procesadores x86 del año 2003.

Para acceder a esta puerta trasera se usa el comando ".byte 0x0f, 0x3f" en Linux que activa una especie de "Modo Dios" en los chips VIA C3 Nehemiah.

Ese comando se supone que no existe, no tiene un nombre, y te da raíz inmediatamente", dijo Christopher Domas.

mode-god-cpu-x86

Esta puerta trasera rompe por completo el modelo de anillo de protección de la seguridad del sistema operativo.

En este modelo de anillos el kernel del sistema operativo se ejecuta en el anillo 0, los controladores de dispositivo se ejecutan en los anillos 1 y 2 y las aplicaciones e interfaces de usuario ("userland") desde el núcleo y con los menores privilegios.

Resumiendo, el Modo Dios descubierto por Domas te lleva desde el anillo más externo al más interno en cuatro bytes.

"Tenemos una escalada directa de privilegios del anillo 3 al anillo 0", dijo Domas. "Esto nunca se ha hecho".

Eso es debido al chip escondido de RISC, que vive hasta ahora en el metal desnudo que Domas medio bromeó que debería ser pensado como un nuevo y más profundo anillo de privilegios, siguiendo la teoría de que los hipervisores y los sistemas de administración de chips pueden ser considerado anillo -1 o anillo -2.

"Esto es realmente el anillo -4", dijo. "Es un núcleo secreto, coubicado junto con el chip x86. Tiene acceso ilimitado al x86".

¿Cómo encontró ese comando?

Analizando varias patentes archivadas de la varias compañías de procesadores. La patente en cuestión es la US8341419.

Esa patente mencionaba el salto del anillo 3 al anillo 0 y la protección de la máquina de exploits de registros específicos del modelo (MSR), comandos creados por el fabricante que a menudo están limitados a ciertos conjuntos de chips.

Parte del documento donde habla de la puerta trasera:

Pieta Trasera Chips VIA C3

Después siguió buscando entre patentes y descubrió que ciertos conjuntos de chips VIA estaban cubiertos por estás patentes. Luego recogió varias máquinas antiguas VIA C3 y pasó varias semanas codificando para poner a prueba la información de las patentes.

Después de tres semanas, tenía 15 GB de datos de registro y las instrucciones para voltear la puerta trasera en el chip RISC oculto.

¿Necesitamos acceso al anillo 0 para aprovechar esta puerta trasera?

Afortunadamente en algunos procesadores es necesario acceso en anillo 0 para comenzar el proceso de lanzamiento

Pero no es necesario en algunos de los procesadores VIA C3 x86 porque tienen el Modo Dios habilitado por defecto. Puedes acceder desde la consola de tú sistema operativo. El software antivirus, ASLR y todas las otras medidas de seguridad son inútiles.

¿Chips afectados?

Esta puerta trasera solo existe en los chips VIA C3 Nehemiah fabricados en 2003 y utilizados en sistemas embebidos y clientes ligeros.

Domas también señaka que es muy posible que existan puertas traseras ocultas en muchos otros chipsets.

"Estas cajas negras en las que confiamos son cosas que no tenemos forma de analizar".

Domas ha puesto toda su investigación, además de herramientas para verificar si su CPU VIA C3 podría tener un coprocesador no documentado y desactivar el coprocesador de manera predeterminada, en su página de GitHub

Read more