Logran activar el “Modo Dios” en procesadores x86
En informática, se llama “puerta trasera” a una secuencia secreta que te permite esquivar los mecanismos de seguridad de un sistema para acceder a él. No es algo raro, pero sí una vulnerabilidad en el sistema: por muy secreta que sea la puerta, siempre habrá un hacker que consiga abrirla.
En este caso, un investigador de seguridad llamado Christopher Domas ha encontrado una increíble puerta trasera en una familia de procesadores x86 del año 2003. Domas demostró en la conferencia Black Hat esta semana que el comando de Linux “.byte 0x0f, 0x3f” activa una especie de “Modo Dios” en los chips VIA C3 Nehemiah. Un comando “que se supone que no existe, que no tiene nombre y que te otorga acceso root inmediatamente”, explicó.Outstream Video
En esencia, esta puerta trasera rompe el sistema de anillos de protección de la arquitectura x86, en el que el núcleo del sistema operativo se ejecuta en el anillo 0 (el que tiene más privilegios), los controladores de dispositivos se ejecutan en los anillos 1 y 2, y las aplicaciones e interfaces de usuario se ejecutan en el anillo 3 (el que tiene menos privilegios; el del usuario).
A través del “Modo Dios”, estos procesadores permiten acceder al anillo central desde el anillo más externo. “Una escalada directa de privilegios del anillo 3 al anillo 0”, explicó Domas, añadiendo que nunca antes se había dado un caso igual. ¿Cómo lo encontró? Siguiendo un “rastro de migas de pan” entre las patentes archivadas de la compañía tras encontrar una en la que se mencionaba el salto del anillo 3 al anillo 0.
Para acceder a esta puerta trasera se usa el comando “.byte 0x0f, 0x3f” en Linux que activa una especie de “Modo Dios” en los chips VIA C3 Nehemiah.
Ese comando se supone que no existe, no tiene un nombre, y te da raíz inmediatamente”, dijo Christopher Domas.
Esta puerta trasera rompe por completo el modelo de anillo de protección de la seguridad del sistema operativo.
En este modelo de anillos el kernel del sistema operativo se ejecuta en el anillo 0, los controladores de dispositivo se ejecutan en los anillos 1 y 2 y las aplicaciones e interfaces de usuario (“userland”) desde el núcleo y con los menores privilegios.
Resumiendo, el Modo Dios descubierto por Domas te lleva desde el anillo más externo al más interno en cuatro bytes.
Eso es debido al chip escondido de RISC, que vive hasta ahora en el metal desnudo que Domas medio bromeó que debería ser pensado como un nuevo y más profundo anillo de privilegios, siguiendo la teoría de que los hipervisores y los sistemas de administración de chips pueden ser considerado anillo -1 o anillo -2.
“Esto es realmente el anillo -4”, dijo. “Es un núcleo secreto, coubicado junto con el chip x86. Tiene acceso ilimitado al x86”.
Analizando varias patentes archivadas de la varias compañías de procesadores. La patente en cuestión es la US8341419.
Esa patente mencionaba el salto del anillo 3 al anillo 0 y la protección de la máquina de exploits de registros específicos del modelo (MSR), comandos creados por el fabricante que a menudo están limitados a ciertos conjuntos de chips.
Después siguió buscando entre patentes y descubrió que ciertos conjuntos de chips VIA estaban cubiertos por estás patentes. Luego recogió varias máquinas antiguas VIA C3 y pasó varias semanas codificando para poner a prueba la información de las patentes.
La buena noticia es que el comando solo funciona en siete procesadores de la familia VIA C3 Nehemiah. La mala es que es muy posible que existan puertas traseras similares en otros chipsets. “Estas cajas negras en las que confiamos son cosas que no tenemos forma de analizar”, dijo Domas.
Domas ha puesto toda su investigación, además de herramientas para verificar si su CPU VIA C3 podría tener un coprocesador no documentado y desactivar el coprocesador de manera predeterminada, en su página de GitHub
Fuente: Tom’s Hardware.
