Търсене
Close this search box.

Екип от изследователи от Центъра за информационна сигурност CISPA Helmholtz в Германия е разкрил архитектурен бъг в процесорите XuanTie C910 и C920 RISC-V на китайската компания T-Head, който може да позволи на атакуващите да получат неограничен достъп до уязвими устройства.

Кодовото име на уязвимостта е GhostWrite. Тя е описана като директен бъг в процесора, вграден в хардуера, за разлика от атака по страничен канал или преходно изпълнение.

„Тази уязвимост позволява на непривилегировани нападатели, дори на такива с ограничен достъп, да четат и записват всяка част от паметта на компютъра и да контролират периферни устройства като мрежови карти“, казват изследователите. „GhostWrite прави неефективни защитните функции на процесора и не може да бъде отстранена, без да се деактивира около половината от функционалността на процесора.“

CISPA установи, че процесорът има дефектни инструкции в своето векторно разширение – допълнение към RISC-V ISA, предназначено да обработва по-големи стойности на данните в сравнение с основната архитектура на набора от инструкции (ISA).

Тези дефектни инструкции, които според изследователите оперират директно с физическа, а не с виртуална памет, могат да заобиколят изолацията на процесите, която обикновено се налага от операционната система и хардуера.

В резултат на това непривилегирован нападател може да използва този пропуск, за да записва на всяко място в паметта и да заобиколи функциите за сигурност и изолация, за да получи пълен, неограничен достъп до устройството. Може също така да изтече всякакво съдържание от паметта на машината, включително пароли.

„Атаката е 100% надеждна, детерминистична и отнема само микросекунди за изпълнение“, казват изследователите. „Дори мерки за сигурност като контейнеризация на Docker или пясъчници не могат да спрат тази атака. Освен това нападателят може да превземе хардуерни устройства, които използват вход/изход с памет (MMIO), което му позволява да изпраща всякакви команди към тези устройства.“

Най-ефективната мярка за противодействие на GhostWrite е деактивирането на цялата функционалност на вектора, което обаче оказва сериозно влияние върху производителността и възможностите на процесора, тъй като изключва около 50% от набора от инструкции.

„За щастие уязвимите инструкции се намират в разширението на вектора, което може да бъде деактивирано от операционната система“, отбелязват изследователите. „Това напълно смекчава ефекта от GhostWrite, но също така напълно изключва векторните инструкции в процесора.“


„Деактивирането на векторното разширение значително намалява производителността на процесора, особено при задачи, които се възползват от паралелна обработка и работа с големи масиви от данни. Приложенията, разчитащи в голяма степен на тези функции, може да изпитат по-бавна производителност или намалена функционалност.“

Разкритието идва в момент, когато Android Red Team в Google разкри повече от девет недостатъка в Adreno GPU на Qualcomm, които могат да позволят на нападател с локален достъп до устройството да постигне повишаване на привилегиите и изпълнение на код на ниво ядро. Оттогава слабостите са закърпени от производителя на чипсета.

Следва и откриването на нов недостатък в сигурността на процесори на AMD, който потенциално може да бъде използван от нападател с достъп до ядрото (известен още като Ring-0) за повишаване на привилегиите и промяна на конфигурацията на режима за управление на системата (SMM или Ring-2), дори когато е активирана функцията SMM Lock.

Наречена от IOActive Sinkclose (известна още като CVE-2023-31315, CVSS оценка: 7,5), уязвимостта се твърди, че е останала неоткрита в продължение на почти две десетилетия. Достъпът до най-високите нива на привилегии на компютъра означава, че тя позволява деактивиране на функциите за сигурност и инсталиране на устойчив зловреден софтуер, който може да остане практически незабелязан.

В разговор с WIRED компанията заяви, че единственият начин за отстраняване на инфекцията е да се осъществи физическа връзка с процесорите с помощта на хардуерен инструмент, известен като SPI Flash програматор, и да се сканира паметта за инсталиран зловреден софтуер с помощта на SinkClose.

„Неправилното валидиране в специфичен за модела регистър (MSR) може да позволи на злонамерена програма с достъп до ring0 да модифицира конфигурацията на SMM, докато заключването на SMI е активирано, което потенциално може да доведе до произволно изпълнение на код“, отбеляза AMD в консултация, като заяви, че възнамерява да пусне актуализации за производителите на оригинално оборудване (OEM), за да смекчи проблема.

 

Източник: The Hacker News

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
Бъдете социални
Още по темата
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Предизвикателствата в облас...

Какви са приоритетите на CISO и...
10/10/2024

Атаката на American Water п...

Кибератака продължава да засяга най-голямата регулирана...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!