GhostWrite: Novos bugs da CPU T-Head expõem dispositivos a ataques irrestritos.

Sticky 15/08/2024
Captura de tela 2024-08-15 083140

Uma equipe de pesquisadores do Centro Helmholtz de Segurança da Informação da CISPA, na Alemanha, divulgou um bug arquitetônico que afeta as CPUs XuanTie C910 e C920 RISC-V da empresa chinesa de chips T-Head , o que pode permitir que invasores obtenham acesso irrestrito a dispositivos suscetíveis.

A vulnerabilidade recebeu o codinome GhostWrite. Ela foi descrita como um bug direto da CPU embutido no hardware, em oposição a um ataque de execução transitória ou de canal lateral.

“Essa vulnerabilidade permite que invasores sem privilégios, mesmo aqueles com acesso limitado, leiam e gravem qualquer parte da memória do computador e controlem dispositivos periféricos como placas de rede”, disseram os pesquisadores . “O GhostWrite torna os recursos de segurança da CPU ineficazes e não pode ser corrigido sem desabilitar cerca de metade da funcionalidade da CPU.”

A CISPA descobriu que a CPU tem instruções defeituosas em sua extensão vetorial, um complemento do RISC-V ISA projetado para lidar com valores de dados maiores do que a Arquitetura de Conjunto de Instruções (ISA) básica.

Essas instruções defeituosas, que os pesquisadores disseram que operam diretamente na memória física e não na memória virtual, podem ignorar o isolamento do processo normalmente imposto pelo sistema operacional e pelo hardware.

Como resultado, um invasor sem privilégios poderia usar essa brecha como arma para gravar em qualquer local da memória e contornar recursos de segurança e isolamento para obter acesso total e irrestrito ao dispositivo. Também poderia vazar qualquer conteúdo de memória de uma máquina, incluindo senhas.

“O ataque é 100% confiável, determinístico e leva apenas microssegundos para ser executado”, disseram os pesquisadores. “Mesmo medidas de segurança como a conteinerização do Docker ou sandboxing não conseguem impedir esse ataque. Além disso, o invasor pode sequestrar dispositivos de hardware que usam entrada/saída mapeadas em memória (MMIO), permitindo que eles enviem quaisquer comandos para esses dispositivos.”

A contramedida mais eficaz para o GhostWrite é desabilitar toda a funcionalidade do vetor, o que, no entanto, afeta severamente o desempenho e as capacidades da CPU, pois desativa cerca de 50% do conjunto de instruções.

“Felizmente, as instruções vulneráveis ​​estão na extensão do vetor, que pode ser desabilitada pelo sistema operacional”, observaram os pesquisadores. “Isso atenua totalmente o GhostWrite, mas também desabilita totalmente as instruções do vetor na CPU.”

Captura de tela 2024 08 15 082837

“Desabilitar a extensão do vetor reduz significativamente o desempenho da CPU, especialmente para tarefas que se beneficiam do processamento paralelo e do manuseio de grandes conjuntos de dados. Aplicativos que dependem muito desses recursos podem apresentar desempenho mais lento ou funcionalidade reduzida.”

A divulgação ocorre quando o Android Red Team do Google revelou mais de nove falhas na GPU Adreno da Qualcomm que poderiam permitir que um invasor com acesso local a um dispositivo obtivesse escalonamento de privilégios e execução de código no nível do kernel. As fraquezas já foram corrigidas pelo fabricante do chipset.

Também ocorre após a descoberta de uma nova falha de segurança em processadores AMD que poderia ser potencialmente explorada por um invasor com acesso ao kernel (também conhecido como Ring-0) para elevar privilégios e modificar a configuração do Modo de Gerenciamento do Sistema ( SMM ou Ring-2), mesmo quando o Bloqueio do SMM estiver habilitado.

Apelidada de Sinkclose pela IOActive (também conhecida como CVE-2023-31315, pontuação CVSS: 7,5), a vulnerabilidade teria permanecido indetectável por quase duas décadas. O acesso aos níveis de privilégio mais altos em um computador significa que ele permite desabilitar recursos de segurança e instalar malware persistente que pode passar virtualmente despercebido.

Em declarações à WIRED, a empresa disse que a única maneira de remediar uma infecção seria conectar-se fisicamente às CPUs usando uma ferramenta baseada em hardware conhecida como programador SPI Flash e escanear a memória em busca de malware instalado usando o SinkClose.

“A validação inadequada em um registro específico de modelo (MSR) pode permitir que um programa malicioso com acesso ring0 modifique a configuração SMM enquanto o bloqueio SMI estiver habilitado, potencialmente levando à execução de código arbitrário”, observou a AMD em um comunicado, afirmando que pretende lançar atualizações para Fabricantes de Equipamentos Originais (OEM) para mitigar o problema.

Fonte: thehackernews.com

Visualizações: 0

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança de rede web e servidores empresariais.

Av. São Paulo, 1223. João Pessoa
Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 20.962.496/0001-91

Central de Atendimento ao Cliente
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br
https://www.hostcuritiba.net.br

[email protected]
[email protected]
[email protected]