Sicherheitslücke: Hacker findet "God Mode" in alten x86-Prozessoren
Sicherheitsforscher Christopher Domas hat eine gravierende Sicherheitslücke in alten Via C3 x86-Prozessoren entdeckt. Mit einem nur vier Byte langem Befehl lässt sich von der Nutzerebene direkt auf den Kernel des Betriebssystems zugreifen.
Im Rahmen der Black Hat Konferenz, die vom 4. bis 9. August in den USA stattfand, drehte sich einmal mehr alles um das Thema IT-Sicherheit. Dabei zeigte der Sicherheitsforscher Christopher Domas in einem Vortrag einen "God Mode", wie er ihn bezeichnete, mit dem sich mit nur einem Befehl von der Nutzerebene direkt auf die Ebene des Kernels des Betriebssystems zugreifen lässt. Betroffen sind allerdings lediglich alte x86-CPUs in Form des Via C3 Nehemiah-Chips.
Vier Bytes für den Zugriff vom Desktop auf den OS-Kernel
Diese wurden 2003 gefertigt, in Embedded-Systemen sowie Thin-Clients verbaut und bedienen sich eines zusätzlichen und undokumentierten RISC-Kerns, der den Hauptprozessor steuert. Mit dem Befehl ".byte 0x0f, 0x3f" lässt sich dank dieses zusätzlichen Kerns unter Linux direkt vom Desktop via Terminal auf die tiefste Systemebene zugreifen. "Wir haben direkten Ring 3 auf Ring 0 Hardware -Zugriff. Das hat bislang niemand geschafft", so Domas. Ring 3 beschreibt die Nutzer-Ebene. Auf dieser laufen die Desktop-Anwendungen sowie Interfaces - das "Nutzerland" so gesehen. In Ring 1 und 2 verrichten die Treiber ihre Arbeit und in Ring 0 ist der OS-Kernel beheimatet. "Das ist tatsächlich Ring -4", so Domas scherzhaft über den versteckten RISC-Chip. "Es ist ein geheimer, zusätzlicher Kern. Gemeinsam vergraben mit dem x86-Chip. Er hat unbeschränkten Zugriff auf diesen."
Auch lesenswert: Spectre v5 alias SpectreRSB: Neue CPU-Sicherheitslücke entdeckt
Ausfindig machte Domas den geheimen Kern und damit die Sicherheitslücke über eine lange Suche in den Patenten von Via Technologies. Zunächst fand er Patent US8341419, das den von Domas durchgeführten Sprung erwähnte. Er folgte, wie er selbst erzählte, "dem Pfad der Brotkrumen" und arbeitete sich von Patent zu Patent vor. Anschließend folgte die Praxis. Nach dem Trial-and-Error-Prinzip fand er letztlich den vorgestellten Befehl. Dabei bediente er sich insgesamt sieben Thin-Clients, in denen die Via C3 Nehemiah-Chips verbaut wurden und sammelte insgesamt 15 Gigabyte an Log-Daten. Einen effektiven Schutz vor einem Angriff mit diesem Befehl gibt es nicht, wie es von Domas heißt. "Antivirus Software, ASLR und andere Sicherheitsmaßnahmen sind nutzlos." Ein Prüftool sowie die seine Forschung hat Domas via Github veröffentlicht.
Quelle: via tomshardware.com
Sicherheits-GAU: Spectre & Meltdown - Hintergründe, Tipps und Benchmarks
mehr ...
Die RISC Kerne bei AMD/ Intel sind nicht versteckt sondern als management engine (Intel) und trust zone (AMD) offen dokumentiert (das Vorhandensein, nicht wie man diesen nutzt).
"Ich muss auch kein Ingenieur sein und auch nicht bei BMW arbeiten, um dir zu sagen, dass die Chancen gut stehen, dass BMW's neuestes Mittelklasse-Modell vermutlich besser Technik hat, als ein Trabbi..."
Nach Stand der Technik wäre ich mir nicht so sicher. Der Trabant war in "seiner" Entwicklungszeit ziemlich up to date (BMW hatte sowas wie die Isetta als Massenprodukt).
Dann wurde aber mehr als 30 Jahre nichts Wesentliches am Trabbi verändert.
VIA hatte sich zu dem Zeitpunkt bereits die Nische Security ausgesucht, wie man an der integrierten Verschlüsselungseinheit schön sieht. Dass sie gleichzeitig so einen Fehler fabrizieren ist unter den Ausgangsvoraussetzungen wirklich nicht zu erwarten gewesen.
Kein Problem, nachdem ich zufällig beim putzen die Tastenkombination für das verlassen des embedded Bereich heraus gefunden habe, weiß ich dass da in der Anlage ein Intel Celeron mit gechillten 1000MHz läuft, den seine einzige Aufgabe es ist, Fühler auszuwerten, und Pneumatik zu schalten. Wofür er dafür 512MB RAM brauch, sowie 2x 80GB HDDs, weiß wohl nur der Hersteller. Und falls es euch interessiert, es ist eine VIA OnBoard Grafik.
Hat die nsa alte Dokumente freigegeben?