Технологии AMD SEV и Intel SGX позволяют создавать защищённые и зашифрованные области в памяти с ограниченным доступом. Первая в большей степени ориентирована на виртуализацию, вторая — на конфиденциальные вычисления. И для обеих исследователи нашли способ обойти защиту и ограничения, причём в обоих случаях используются атаки на аппаратном уровне с манипуляцией напряжением.

В статье, озаглавленной One Glitch to Rule Them All (Один глитч чтобы править всеми), исследователи из Берлинского технического университета (TU Berlin) описывают метод атаки на AMD Platform Secure Processor (PSP), независимый чип, присутствующий во всех процессорах EPYC всех поколений. PSP отвечает за безопасность платформы в целом, и за работу технологии SEV (Secure Encrypted Virtualization) во всех её вариантах. PSP проверяет целостность и корректность прошивок, загружаемых по цепочке во время старта системы.

Первичный загрузчик считывается из необновляемой ROM-области, после чего управление передаётся следующему загрузчику. Он проверяет и запускает внутреннюю ОС (PSP OS) и прошивку SEV, образы которых находятся уже в отдельной флеш-памяти на шине SPI. Атака, упрощённо говоря, сводится к инициированному сбою во время первичного общения PSP c ROM, что позволяет с некоторой долей вероятности заставить PSP посчитать ключ атакующего корректным и затем без проблем загрузить подписанные этим ключом и модифицированные по желанию атакующего образы из флеш-памяти на SPI.

Указанный сбой можно вызвать, точно манипулируя напряжением питания PSP. Для этого исследователи задействовали микроконтроллер Teensy 4.0, который подключался к шинам управления регулятором напряжения и SPI, а также к линии ATX для сброса CPU по питанию. Так как каждый сервер уникален, нужно время на первичную настройку параметров (около получаса), после чего микроконтроллер в автоматическом режиме начнёт атаковать систему со скоростью порядка 1100 попыток в час.

Ограничением в данном случае является тайм-аут линии ATX, поскольку после каждой неудачной попытки необходимо сбрасывать питание CPU. Это увеличивает время загрузки — от старта атаки до получения полного контроля проходит в среднем от 13,5 (Zen 1) до 46,5 (Zen 3) минут. Исследователи оговариваются, что это именно средние значения, так как разброс достаточно велик и неравномерен и не даёт даже приблизительно оценить время успешной атаки.

Схема атаки

Тем не менее, есть шанс, что увеличенное время загрузки никто не заметит, поскольку крупные системы (в первую очередь с большим объёмом памяти) и так могут загружаться не один десяток минут. В случае успешной атаки её будет весьма трудно обнаружить, поскольку появляется возможность подавить любые дальнейшие проверки и подменить данные внутренней телеметрии.

Основную опасность данный метод атаки представляет для облачных провайдеров и крупных корпоративных заказчиков — модификация сервера может быть произведена в цепочке поставок или сотрудником компании с нужными полномочиями. На подготовку тестовой системы на базе платы Supermicro H11DSU-iN и AMD EPYC 72F3 исследователям понадобилось менее четырёх часов. При это атака очень дешёвая — никакого особого оборудования не нужно, а из расходных материалов требуется только микроконтроллер (примерно $30) и SPI-программатор (около $12).

Маскировка лишних чипов на плате тоже вряд ли вызовет особые проблемы. В целом, данный сценарий очень напоминает историю Bloomberg от 2018 года о «жучках» в серверах Supermicro, поставляемых крупным американским IT-игрокам, которая не нашла официального подтверждения со стороны упомянутых в ней компаний.

Атака на AMD PSP была вдохновлена работой исследователей из Бирмингемского университета, которые развили идеи Plundervolt (CVE-2019-11157) и назвали свой метод VoltPillager. В случае Plundervolt точное манипулирование напряжением CPU позволяла нарушить корректность работы SGX (Software Guard Extensions) и целостность защищённых анклавов памяти, что в итоге позволяло восстановить ключи и получить содержимое анклавов.

Тестовый вариант VoltPillager

Атака требовала привилегированного доступа к системе и точно так же задействовала шину регулятора напряжения (SVID, Serial Voltage Identification). Доступ к этой шине можно было получить программно, так что Intel выпустила соответствующие патчи, позволяющие принудительно отключить эту возможность. Но против модификации «железа» они не помогают. В данном случае требуется только микроконтроллер (тот же Teensy 4.0) и доступ к системе.

И для AMD, и для Intel, по мнению исследователей, для защиты требуется аппаратная модификация самих процессоров, которые, в первую очередь, должны самостоятельно отслеживать питание и команды, управляющие им. Аналогичные методы атаки изучены и для других архитектур и чипов.

Что касается описанных выше методов, то AMD пока никак не прокомментировала ситуацию, а Intel сообщила, что данный метод находится вне фокуса защиты SGX, поскольку подразумевает модификацию «железа». За последние полгода это уже четвёртая атака на AMD SEV — для двух, выявленных весной, и ещё одной, под названием CIPHERLEAKS, признанной на днях, компания уже выпустила патчи и обновления. А Intel SGX успела пострадать и от Spectre, и от других уязвимостей.

Легенды о «закладках» и бэкдорах в компьютерном аппаратном обеспечении ходят давно. Далеко не все из них имеют под собой хоть какие-то основания, хотя в ряде случаев различные механизмы удалённого управления и имеют уязвимости, которые вполне может использовать опытный злоумышленник.

В 2018 году прогремел скандал, когда Bloomberg заявила, что на платах Supermicro может быть крошечный чип, не предусмотренный спецификациями. Эта «модификация» якобы затронула около 30 компаний. Впрочем, все «пострадавшие» хором заявляли, что никаких лишних чипов в их оборудовании нет, а Supermicro даже провела независимое исследование. Правительство США, тем не менее, считает, что подобные атаки могут быть делом рук китайских военных.

Компания Sepio Systems, чьей специализацией является безопасность аппаратных решений, ранее уже подтвердила, что подобные аппаратные закладки возможны, и специалисты компании встречаются с ними не в первый раз. В частности, описывается случай с сервером той же Supermicro, у которого вредоносный чип был внедрён в дорожки, ведущие к порту Ethernet. Обнаружить его активность удалось по нетипичному сетевому трафику, но до конца разобраться в том, какие данные передаёт или обрабатывает устройство, специалистам не удалось.

Аппаратные закладки: миф или реальность?

Так сколько же стоит подобная аппаратная модификация и может ли она быть проведена не спецслужбами и прочими организациями с практически неограниченными ресурсами? Энтузиасты тщательно проверили все возможные способы и доказали, что такая операция возможна. Исследователь Монта Элкинс (Monta Elkins) обещал предоставить подробное описание данного типа атаки на конференции CS3sthlm, которая пройдет с 21 по 24 октября в Стокгольме.

Элкинс утверждает, что ничего сверхсложного в ней нет и каких-то особых навыков не требуется — любой достаточно мотивированный злоумышленник, будь то шпион, хакер или представитель криминальных кругов, легко может снабдить нужный ему сервер или сетевое устройство соответствующей модификацией. Опытному хакеру, который дружит не только с ПО, но и с паяльником, такая операция обойдётся всего в $200, включая затраты на оборудование.

Digispark Attiny 85: донор чипов-закладок. Верхняя микросхема ‒ контроллер

При этом $150 будет стоить фен для пайки, ещё $40 уйдёт на микроскоп, а сами чипы, используемые для взлома, могут стоить всего $2 за штуку. Автору будущего доклада удалось модифицировать брандмауэр Cisco таким образом, что, по его мнению, взлом не заметят большинство системных администраторов.

В качестве чипа Элкинс выбрал 8-бит микроконтроллер Atmel ATtiny85 с платы Digispark Arduino. Эта микросхема не так мала, как «рисовое зёрнышко» из статьи Bloomberg, но её размеры в корпусе SOIC-8 составляют всего 4 × 5 мм. При этом контроллер, работающий на частоте 16,5 МГц, представляет собой довольно мощное устройство. 

Исследователь выбрал место на системной плате Cisco ASA 5505, не требующее дополнительных проводов и установил туда данный чип, предварительно снабдив его соответствующей прошивкой. Элкинс утверждает, что такая модификация возможна и для других устройств Cisco. Компания в свою очередь заявила: «Если будет обнаружена новая информация, о которой должны знать наши клиенты, мы сообщим её по обычным каналам связи».

Взломанная системная плата Cisco ASA 5505. «Лишний» чип в левом нижнем углу

Как видно на снимке, сходу обнаружить лишнюю микросхему не так-то просто, хотя в примере использовалась достаточно небольшая и не слишком сложная системная плата. Если произвести пайку аккуратно, то чип создаёт впечатление установленного на заводе и совершенно не привлекает внимания. Элкинс утверждает, что возможна куда более скрытная установка, а также использование более мелких микросхем. ATtiny85 он выбрал просто из-за легкости программирования.

Контроллер припаян к выводам последовательного порта. После включения устройства чип  дожидается загрузки ОС брандмауэра, а затем имитирует действия человека. Он инициирует процедуру восстановления пароля, после чего создаёт новую учётную запись администратора и, таким образом, получает доступ ко всем настройкам устройства.  Дальнейшее зависит от намерений взломщика: возможно получение полного удалённого доступа к системе, отключение всех настроек безопасности, доступ к сетевым логам и прочим данным.

TinyFPGA AX2: стоимость $19, габариты ПЛИС Lattice  XO2-1200 — 2,5 × 2,5 миллиметра

Другой исследователь, Траммел Хадсон (Trammell Hudson), также подтвердил возможность аппаратного взлома. Он воспроизвёл ситуацию с платой Supermicro и подключился к контроллеру BMC, отвечающему, в числе прочего, и за удалённый доступ к системе. В качестве «зловреда» Хадсон выбрал крошечную ПЛИС площадью всего 2,5 мм², заменив ей один из резисторов на системной плате. Вероятнее всего, он использовал микросхему Lattice XO2-1200.

Таким образом, на сегодняшний день возможность аппаратного взлома различной IT-техники полностью доказана и подтверждена. Самое опасное в такой возможности то, что воспользоваться ей может практически любой достаточно опытный энтузиаст, даже не располагающий серьёзными денежными средствами. В ближайшие годы компаниям, отвечающим за кибербезопасность, предстоит очень много работы. Даже обычным опытным пользователям можно рекомендовать тщательный осмотр своих устройств на предмет наличия «лишних» чипов.

Полупроводниковая компания Microsemi выступила с заявлением, в котором она отрицает, что один из ее продуктов, популярный кремниевый чип ProASIC3 (FPGA), имеет встроенный бэкдор. Исследователи Сергей Скоробогатов из Кембриджского университета и Кристофер Вудс (Christopher Woods) из британской компании Quo Vadis Labs (QVL), утверждали, что обнаружили в FPGA ProASIC3 недокументированные функции, которые могут быть использованы злоумышленниками для получения доступа ко всем функциям чипа, несмотря на шифрование такой информации с помощью определяемого пользователем 128-битного ключа AES.

По утверждению Microsemi, функция, обнаруженная исследователями, является привилегированной возможностью, зарезервированной для начального тестирования и анализа отказов, и она отключена во всех поставляемых устройствах. Кроме того, функция может быть доступна только при программировании устройства по заказу клиента с использованием пользовательского кода доступа. Microsemi не смогла подтвердить возможность описываемой двумя исследователями атаки потому что компания не имеет доступа к технологии и настройкам оборудования, которое они, как утверждают, используют. В ответ на это, исследователи отметили, что PEA-техники описаны в патенте QVL и, следовательно, общедоступны.

Материалы по теме:

• Настоящее и будущее российского серверного рынка: мнение экспертов;
• Kaspersky Endpoint Security 8 for Windows и Security Center 9: обзор новшеств;
• Готовность IT-инфраструктуры к аварийному восстановлению: исследование Acronis.

Источник:

• computerworld.com