Black Hat: Alte x86-VIA-CPU fürs Militär mit Backdoor

Auf der Black Hat haben Sicherheitsforscher enthüllt, dass die auch in militärischem Gerät verwendete Via C3-CPU eine ‘vergessene Backdoor’ beinhaltet, die die komplette Kontrolle des Prozessors ermöglicht. Der Fall ist aber von akademischem Interesse, da die CPUs so um 2001 bis 2005 auf den Markt kamen.


Anzeige

Die Via C3-CPU ist zum x86-Befehlssatz von Intel kompatibel und wurde seit 2001 produziert. Es gibt auch spezielle Versionen, die mit ‘militärischen Sicherheitsmerkmalen’ angepriesen wurden. Solche Prozessoren finden sich in spezieller Hardware in Geräten beim Militär. Auf der Blackhat 2018 kam heraus, dass die älteren CPUs eine ‘vergessene Backdoor’ beinhalten.

Backdoor auf dem Chip

The Register hat hier einen Artikel zum Thema veröffentlicht. Die Schwachstelle in Form einer Backdoor ist fest im Via C3-Chip implementiert. Christopher Domas, ein Ausbilder an der Ohio State University in den USA, hat seine Erkenntnisse letzten Donnerstag auf der Black Hat USA-Sicherheitskonferenz 2018 in Las Vegas im Vortrag GOD MODE UNLOCKED – Hardware Backdoors in x86 CPUs präsentiert.

Die aktivierte Backdoor ermöglicht einer Software auf Chip-Ebene Anweisungen an einen versteckten Coprozessor zu senden. Dieser Coprozessor hat die volle Kontrolle über die Hardware des Computers. Dieser Zugriff kann von normalen Programmen und angemeldeten Benutzern ausgenutzt werden, um den Arbeitsspeicher des Betriebssystemkerns zu ändern, root- oder Administratorrechte zu erlangen und andere Unannehmlichkeiten zu verursachen. Aber auch Malware kann dies für ihre Zwecke nutzen.

“Die Hintertür erlaubt es dem Ring 3 (Userland) Code, den Prozessorschutz zu umgehen, um Ring 0 (Kernel) Daten frei zu lesen und zu schreiben”, so Domas. “Während die Hintertür normalerweise deaktiviert ist (was die Ausführung von Ring 0 erfordert, um sie zu aktivieren), haben wir festgestellt, dass sie auf einigen Systemen standardmäßig aktiviert ist”, so Domas.

Christopher Domas bietet detaillierte Informationen in einem GitHub-Repository an, das auch Code zum Erkennen und Schließen der Hintertür enthält.

Ist die Backdoor aktiviert und trifft die x86-CPU auf zwei bestimmte Bytes, übergibt sie eine Nutzlast von Nicht-x86-Befehlen, auf die im eax-Register verwiesen wird, an den Coprozessor zur Ausführung. Dieser Code greift in den Kernelspeicher zu und aktualisiert die Zugriffsrechte des laufenden Programms auf den Superuser-Status.


Werbung

Domas taufte die Hintertür “Rosenbridge”(Rosenbrücke) und beschrieb den Coprozessor als einen nicht-x86 RISC-ähnlichen CPU-Kern, der neben dem x86-Kern im Prozessorpaket eingebettet ist. Er unterscheidet es von anderen Coprozessoren, bei denen Schwachstellen identifiziert wurden, wie z.B. Intels Management Engine. Dieser Coprozessor ist tiefer eingebettet und hat nicht nur Zugriff auf den Hauptspeicher der CPU. Sondern er kann auch auf die Register und die Ausführungspipeline der CPU zugreifen, sagte Domas.

Theoretisch sollte der Backdoor-Zugriff auf Kernel-Ebene Privilegien erfordern, aber laut Domas ist er auf einigen Systemen standardmäßig verfügbar, was bedeutet, dass Userland-Code die Funktion nutzen kann, um das Betriebssystem zu manipulieren.

Thilo Schumann, ein in Deutschland ansässiger Elektroingenieur, argumentierte in einem Tweet, dass das ein dokumentiertes Merkmal der Via C3 sei. Dies ermögliche die Ausführung von Nicht-x86-Softwarebefehlen neben x86-Code. Mit anderen Worten, es wird verwendet, um den Befehlssatz des x86-Kerns um Bonusbefehle zu erweitern, die vom Coprozessor ausgeführt werden.

Domas hat die Auswirkungen seiner Ergebnisse relativiert und sagt, dass die nachfolgenden Generationen des fünfzehn Jahre alten Chips keine solche Hintertür haben. Er betrachtet die Arbeit in erster Linie als interessant für Forscher. Wer aber weiß, welche Geräte einen VIA C3 aufweisen (z.B. Geldautomaten), könnte ein Interesse außerhalb des akademischen Interesses am Thema haben. Weitere Details sind diesem Artikel zu entnehmen.


Anzeige

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.