Black Hat 2018|VIA C3 x86 处理器中被指存在后门机制

翻译：360代码卫士团队

在上周拉斯维加斯举行的2018黑帽大会和第26届 DEF CON 安全会议上，安全研究员详述了基于 x86 的 VIA C3 处理器中的后门机制。VIA C3 处理器是由台湾 VIA 技术公司在2001年至2003年生产并出售的 CPU 家族。

虽然受影响的 CPU 家族为个人电脑而设计，但因部署在销售点单元、智能信息亭、ATM、游戏设备、医疗保健设备和工业自动化设备。

知名硬件安全专家 Christopher Domas 指出，VIA C3 x86 CPU 中包含一个“隐匿的上帝模式”，可导致攻击者将恶意代码的执行级别从内核3层（用户模式）提升至内核0层（操作系统内核）。

Domas 指出，这个被称为 “Rosenbridge” 的后门机制是一个 RISC（精简指令集计算机）协处理器，与主 C3 处理器并列。

Domas 表示，通过使用启动指令 (.byte oxof, ox3f)，他可以翻转一个寄存器控制位以启用这个额外的协处理器，但他表示该协处理器未得到和主 C3 芯片组相同的安全保护措施。发送至这个附加协处理器的任何指令都在0层下运行，而非在正常的3层下运行。

Domas 指出在 VIA C3 Nehemiah 芯片中找到这个“隐匿的上帝模式”功能，但表示其它所有 C3 芯片集也存在类似机制。他表示在浏览专利时发现了这个 Rosenbridge 后门系统。在 DEF CON 大会上，Domas 列出的专利号包括 US8341419、US8880851、US9292470、US9317301、US9043580、US9141389 和US9146742。

但其他硬件专家在推特和 Reddit 等社交媒体平台上对此提出异议，他们认为 Rosenbridge 可能并非是真正的后门，因为自2004年9月起，官方 VIA 文档中就首次提到了它。

文档（第82页）指出，隐匿的 RISC 协处理器的目的是提供“备用指令集”，为硬件供应商 (OEM) 提供对 CPU 的更多控制。文档提到，“这个备用指令集包括一组扩展的整数、MMX、浮点和 3DNow! 指令，以及 x86 指令架构上的附加寄存器和一些更强大的指令形式。”另外，文档提到该附加指令集专门用于测试、调试或其它特殊条件，因此并非“为一般用法所记录”。

好在这个具有争议的“后门”，“应该要求内核权限访问才能激活”。

尽管如此，Domas 还指出，Rosenbridge 后门机制“在某些系统默认启用，可导致任何非权限代码修改内核”，而无需任何预先利用。在这些场景中，攻击者仅需要将特别编制的指令发送给其它 RISC 处理器，读取并执行。

Domas 发布包含工具的 GitHub 仓库以识别 VIA C3 x86 CPU 是否包含 Rosenbridge “后门”机制，并关闭以阻止任何可能的有意或无意利用。

这项 VIA C3 研究并非第一次关注 x86 芯片集安全。三年前，在2015年的黑帽大会安全大会上，Domas 还详述了一种通过系统管理模式 (SMM) 功能提升恶意代码执行级别的简单方法他表示英特尔和 AMD x86处理器受影响。

原文链接

https://www.bleepingcomputer.com/news/security/backdoor-mechanism-discovered-in-via-c3-x86-processors/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。