Inter-Ring exploits

[weaver]

Доброго времени суток. Предлагаю в этом топике делиться информацией о межкольцевых эксплойтах. (Баги, Intel эрреты, PoC'и, "вкусные новости")

Inter-Ring эксплойты - это эксплойты для уязвимостей в микрокоде.

 

[weaver]

Давным давно, когда ботнеты бороздили интернет, а инсталлы лились рекой и руткиты жили спокойной жизнью... И у каждого хакера был свой приватный zero-day эксплойт под Internet Explorer. Был такой доклад в 2008 году на конференции HITB от Криса Касперского (R.I.P). Доклад бы посвящен уязвимостями процессоров Intel, в том числе как эти уязвимости могут привести к удаленному выполнение кода (RCE).

Название
Remote Code Execution Through Intel CPU Bugs
Описание доклада

According to the Intel Specification Updates, Intel Core 2 has 128 confirmed bugs. Intel Itanium (designed for critical systems) looks more “promising”, carrying over 230 bugs. They have all been confirmed by Intel and described in errata section of their specification updates. Some bugs “just” crash the system (under quite rare conditions) while the others give the attackers full control over the machine. In other words, Intel CPUs have exploitable bugs which are vulnerable to both local and remote attacks which works against any OS regardless of the patches applied or the applications which are running.

Although CPU bugs are not something new in the security industry, nobody has come out with any proof-of-concept exploits and as it stands, there are no known malware that take advantage of these bugs, although some malware writers have actually used CPU bugs for targeted attacks. It is just a matter of time before we start seeing these sort of attacks used in more devastating ways over the Internet. Intel has provided workarounds to major BIOS vendors for some of these bugs, but who knows which vendor actually uses them? End-users are in the dark as to how to check if they are secure or not. Intel doesn’t provide any test program for this and the worst thing is - some bugs are still not fixed. In other words, Intel has no workaround for it.

In this presentation, I will share with the participants the finding of my CPU malware detection research which was funded by Endeavor Security. I will also present to the participants my improved POC code and will show participants how it’s possible to make an attack via JavaScript code or just TCP/IP packets storms against Intel based machine. Some of the bugs that will be shown are exploitable via common instruction sequences and by knowing the mechanics behind certain JIT Java-compilers, attackers can force the compiler to do what they want (for example: short nested loops lead to system crashes on many CPUs). I will also share with the participants my experience in data recovery and how CPU bugs have actually contributed in damaging our hard drives without our knowledge.

Само выступление можно посреть тут

Слайды можно скачать тут

http://**************************************************************/d/7bHFXnbO49zy1dkVUqdQ9n

Аналогичные слайды

http://**************************************************************/d/2HtKOpYo3u0m6P8htzlF1q

Собственно вопрос, ко всем кто зашел в тему и посмотрел доклад, полистал слайды...
Интересно послушать ваше мнение и мысли.

1. Действительно ли существуют такие уязвимости которые могут приводить к RCE ?
2. Если они существуют, то только в лабораторных условиях ? Или же это настоящий приват, который спрятан за семью печатями?
3. Если такие эксплойты существуют и предположим такими эксплойтами пользуются, реально ли их отследить ?
4. На сколько всё-таки дырявые процессоры, учитывая что у Intel\AMD есть отдел тестирования ?

Так же есть один занимательный факт.

У Intel есть секретная лаборатория для тестирования старых устройств
Журналисты издания The Wall Street Journal узнали о существовании секретной лаборатории компании Intel, расположенной в Коста-Рике. На этом предприятии компания хранит тысячи единиц различного старого компьютерного оборудования, чтобы с его помощью специалисты по компьютерной безопасности могли в любой момент получить доступ к необходимой аппаратной и программной платформе для исследования новой уязвимости.

Несколько лет назад руководство Intel выявило серьезную проблему. Компания выпускала десятки новых аппаратных и программных продуктов каждый год, но не имела удобных методов и инструментов для каталогизации старых технологий, необходимых ее инженерам для исправления обнаруженных проблем безопасности. Например, процессоры Sandy Bridge с 2011 по 2013 год настолько редки в наши дни, что исследователям безопасности Intel пришлось искать их на торговых площадках в интернете.

В связи с этим компания решила построить собственный склад и центр исследований старых продуктов в Коста-Рике, где у Intel уже была исследовательская лаборатория. Планирование лаборатории началось в середине 2018 года, и уже во второй половине 2019 года предприятие начало работу. Доступ в здание строго ограничен. Разрешение на въезд выдается только высшим руководством, а на территории комплекса установлены камеры видеонаблюдения. Местоположение здания также засекречено. Представитель Intel в разговоре с журналистами WSJ отказался сообщить, где она находится.

На складе предприятия площадью 1,3 тыс. кв.м. находится около 3 тыс. единиц различных аппаратных и программных платформ, выпущенных компанией за последние 10 лет. В будущем Intel планирует расширить свою площадь до 2,5 тыс. кв.м., увеличив парк компьютерного оборудования до 6 тыс. единиц.

Инженеры по безопасности продукции Intel могут связаться с лабораторией долгосрочного хранения и запросить сборку конкретной конфигурации для тестирования уязвимостей. После сборки необходимой платформы лаборанты обеспечивают изолированный доступ к ней через облачный сервис.

Лаборатория, которую обычно обслуживают около 25 инженеров каждый день, работает без перерывов и выходных, так что специалисты Intel могут получить к ней доступ 7 дней в неделю, 24 часа в сутки из любой точки мира. По словам одного из инженеров лаборатории, предприятие ежемесячно получает около 1 тыс. запросов на сборку новых систем для тестирования.

p.s.
Я еще тот археолог поэтому не удивляйтесь

 

[nopnopshellcode]

Ну кстати Джордж Хотз вроде на каждом стриме ищет какие то уязвимости, в том числе аппаратные лоу левел в прцоесах https://www.youtube.com/@geohotarchive/search?query=amd (не факт что находит, может просто скроллит документацию с умным лицом, а может и находит но молчит). Думаю щас никто не будет в паблик такие вещи выкладывать или даже рассказывать, потому что это стоит 1кк$+

 

[weaver]

Думаю щас никто не будет в паблик такие вещи выкладывать или даже рассказывать, потому что это стоит 1кк$+

Это понятно, поэтому мы и собрались тут, чтобы хоть как-то приоткрыть истину. Есть предположение что цена от 100-250кк$, (если не x2) учитывая нынешние цены на другие таргеты.

Всё, что это понятно, что существуют инструкции, назначение которых неизвестно. Некоторые из этих инструкций могут быть бэкдором/инструментами отладки итд... И то что отладчики и дизассемблеры не показывают, что на самом деле происходит, поскольку процессоры не выполняют то, что им предписано документацией. Еще более загадачная штука эта микрокод. На сколько я понял загрузка микрокода происхоит через MSR регистр. И то, что микрокод каждый раз патчит процессор при загрузке ОС. Сам же микрокод может изменить назначение любой инструкции на любую другую, вызывая недокументированные функции. Другими словами можно перепрограммировать процессор, на то что он изначально не был запрограммирован используя микропатчи.

 

[xChimera]

Это понятно, поэтому мы и собрались тут, чтобы хоть как-то приоткрыть истину. Есть предположение что цена от 100-250кк$, (если не x2) учитывая нынешние цены на другие таргеты.

Всё, что это понятно, что существуют инструкции, назначение которых неизвестно. Некоторые из этих инструкций могут быть бэкдором/инструментами отладки итд... И то что отладчики и дизассемблеры не показывают, что на самом деле происходит, поскольку процессоры не выполняют то, что им предписано документацией. Еще более загадачная штука эта микрокод. На сколько я понял загрузка микрокода происхоит через MSR регистр. И то, что микрокод каждый раз патчит процессор при загрузке ОС. Сам же микрокод может изменить назначение любой инструкции на любую другую, вызывая недокументированные функции. Другими словами можно перепрограммировать процессор, на то что он изначально не был запрограммирован используя микропатчи.

Звучит очень фантастически, очень интересно узнать побольше об этом, но вопрос в том - где

 

[weaver]

Звучит очень фантастически, очень интересно узнать побольше об этом, но вопрос в том - где

Об этом еще в журнале хакер писали 12 лет назад. https://xakep.ru/issues/xa/161/
Смотри статью "Черные дыры под белыми пятнами. Микрокод в процессорах и теория заговора".

p.s.
У статьи название неспроста такое. Достаточно посмотреть документацию интел и увидеть там белый прямоугольник.

это скрин из презентациии "Breaking the x86 Instruction Set"...

А вот ниже мой скрин из документации интела что сейчас доступна.

Получается там был INT1.
P.P.S а вот белом последнем прямоугольнике опкод D6 равен вроде как инструкции DAA (Decimal Adjust AX After Addition)

 

[varwar]

Это к Ермолову с Горячим

 

[xChimera]

Другими словами можно перепрограммировать процессор, на то что он изначально не был запрограммирован используя микропатчи.

А система после такого не ебнется?

 

[xChimera]

Хакер #161. Зловредные USB-девайсы

HEADER MEGANEWS. Все новое за последний месяц hacker tweets. Хак-сцена в твиттере Колонка Степана Ильина. История маленького проекта Proof-of-concept. Задача: реализовать мониторинг сайта через скрипты в Google Docs COVER STORY Девайсы-вирусы. Зловредные USB-устройства за 24 доллара Высокие...

xakep.ru

Слив есть у когонибудь?

 

[weaver]

А система после такого не ебнется?

Не знаю. Но я видел DoS эксплойт для процессора. Состоящий из нескольких байтов.

Слив есть у когонибудь?

Там есть кнопка "Скачать в PDF бесплатно".

 

[xChimera]

Не знаю. Но я видел DoS эксплойт. Состоящий из нескольких байтов.

ну то дело дос, а другое напичканная вин10, условно

 

[xChimera]

INT n/INTO/INT3/INT1 — Call to Interrupt Procedure

The INT1 instruction also uses a one-byte opcode (F1) and generates a debug exception (#DB) without setting any bits in DR6.1 Hardware vendors may use the INT1 instruction for hardware debug. For that reason, Intel recommends software vendors instead use the INT3 instruction for software breakpoints.

 

[weaver]

ну то дело дос, а другое напичканная вин10, условно

Я имею введу не операционную систему DOS. А DoS (Denial-of-Service) . DoS эксплойт для процессора из нескольких инструкций. И операционная система тут не важна. Будь то windows будь то linux.

 

[xChimera]

Об этом еще в журнале хакер писали 12 лет назад. https://xakep.ru/issues/xa/161/
Смотри статью "Черные дыры под белыми пятнами. Микрокод в процессорах и теория заговора".

p.s.
У статьи название неспроста такое. Достаточно посмотреть документацию интел и увидеть там белый прямоугольник.

Посмотреть вложение 100783

это скрин из одной презентациии, тоже по процессорам.... А вот ниже мой скрин из документации интела что сейчас доступна.

Посмотреть вложение 100784
Получается там был INT1.
P.P.S а вот белом последнем прямоугольнике опкод D6 равен вроде как инструкции DAA (Decimal Adjust AX After Addition)

Сказано в статье не много, но общее понимание сложилось, как я понял микропатчи активны до выключения системы, а информации о них мало

 

[weaver]

Сказано в статье не много, но общее понимание сложилось, как я понял микропатчи активны до выключения системы, а информации о них мало

Угу. А после выключения системы работает только Intel Me если это система Intel или PSP (ASP) если это AMD, конечно если есть питание к компьютеру. Ну и на сколько известно там своя операционная система работает. Поговариваются вроде как форк Minix. Кроме того, существуют еще несколько уровень колец. Я тут в соседних тредах скидывал..

http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/128842/post-911464

ring -3 <--- и вот тут "вроде как" работает этот самый Minix
ring -2
ring -1
ring 0
ring 1
ring 2
ring 3

Но это всё предположения специалистов Google.

 

[xChimera]

Угу. А после выключения системы работает только Intel Me если это система Intel или PSP (ASP) если это AMD, конечно если есть питание к компьютеру. Ну и на сколько известно там своя операционная система работает. Поговариваются вроде как форк Minix. Кроме того, существуют еще несколько уровень колец. Я тут в соседних тредах скидывал..

ring -3 <--- и вот тут "вроде как" поговоряет работает этот самый Minix
ring -2
ring -1
ring 0
ring 1
ring 2
ring 3

Но это всё предположения специалистов Google.

про кольца да, вкурсе, вроде как так

-3 intel me / psp
-2 smm\ефи
-1 визор
0 ядро
1 драйвера
2 драйвера
3 юзермод приложения

 

[xChimera]

А после выключения системы работает только Intel Me если это система Intel или PSP (ASP) если это AMD, конечно если есть питание к компьютеру.

Интересно, сохраняются ли патчи в таком случае

 

[xChimera]

про кольца да, вкурсе, вроде как так

-3 intel me / psp
-2 smm\ефи
-1 визор
0 ядро
1 драйвера
2 драйвера
3 юзермод приложения

не совсем понимаю только различие 1 и 2 уровня

 

[weaver]

Интересно, сохраняются ли патчи в таком случае

На самом то деле хз. Но если верить условно тому же источнику в статье то нет.

не совсем понимаю только различие 1 и 2 уровня

По факту ничем, кроме того что для чего они применяются и уровню привилегий.
ring 3 < ring 2 < ring 1 < ring 0 (уровень привилегий)

 

[weaver]

Если кому интересно за DoS-эксплойт под процессор. Есть такой опкод F00F известный как "опкод призрак" aka "F00F bug". На этот опкод небыло инструкций его просто зарезервировали на будущее. И вот этот undefined opcode вызывал исключение и приводил к зависанию процессора. Баг этот можно было вызвать из любого режима работы в любой операционной системе. Баг можно воспроизвести только на ооочень старом пне.

https://ru.wikipedia.org/wiki/F0_0F_C7_C8
https://www.rcollins.org/ddj/May98/F00FBug.html
https://ru.wikipedia.org/wiki/Halt_and_Catch_Fire