Uma equipe de pesquisadores do Centro Helmholtz de Segurança da Informação da CISPA, na Alemanha, divulgou um bug arquitetônico que afeta as CPUs XuanTie C910 e C920 RISC-V da empresa chinesa de chips T-Head, o que pode permitir que invasores obtenham acesso irrestrito a dispositivos suscetíveis.
A vulnerabilidade recebeu o codinome GhostWrite. Ela foi descrita como um bug direto da CPU embutido no {hardware}, em oposição a um ataque de execução transitória ou de canal lateral.
“Essa vulnerabilidade permite que invasores sem privilégios, mesmo aqueles com acesso limitado, leiam e gravem qualquer parte da memória do computador e controlem dispositivos periféricos como placas de rede”, disseram os pesquisadores. “O GhostWrite torna os recursos de segurança da CPU ineficazes e não pode ser corrigido sem desabilitar cerca de metade da funcionalidade da CPU.”
A CISPA descobriu que a CPU tem instruções defeituosas em sua extensão vetorial, um complemento do RISC-V ISA projetado para lidar com valores de dados maiores do que a Arquitetura de Conjunto de Instruções (ISA) básica.
Essas instruções defeituosas, que os pesquisadores disseram que operam diretamente na memória física e não na memória digital, podem ignorar o isolamento do processo normalmente imposto pelo sistema operacional e pelo {hardware}.
Como resultado, um invasor sem privilégios poderia usar essa brecha como arma para gravar em qualquer native da memória e contornar recursos de segurança e isolamento para obter acesso whole e irrestrito ao dispositivo. Também poderia vazar qualquer conteúdo de memória de uma máquina, incluindo senhas.
“O ataque é 100% confiável, determinístico e leva apenas microssegundos para ser executado”, disseram os pesquisadores. “Mesmo medidas de segurança como a conteinerização do Docker ou sandboxing não conseguem impedir esse ataque. Além disso, o invasor pode sequestrar dispositivos de {hardware} que usam entrada/saída mapeadas em memória (MMIO), permitindo que eles enviem quaisquer comandos para esses dispositivos.”
A contramedida mais eficaz para o GhostWrite é desabilitar toda a funcionalidade do vetor, o que, no entanto, afeta severamente o desempenho e as capacidades da CPU, pois desativa cerca de 50% do conjunto de instruções.
“Felizmente, as instruções vulneráveis estão na extensão do vetor, que pode ser desabilitada pelo sistema operacional”, observaram os pesquisadores. “Isso atenua totalmente o GhostWrite, mas também desabilita totalmente as instruções do vetor na CPU.”
“Desabilitar a extensão do vetor reduz significativamente o desempenho da CPU, especialmente para tarefas que se beneficiam do processamento paralelo e do manuseio de grandes conjuntos de dados. Aplicativos que dependem muito desses recursos podem apresentar desempenho mais lento ou funcionalidade reduzida.”
A divulgação ocorre quando o Android Crimson Group do Google revelou mais de nove falhas na GPU Adreno da Qualcomm que poderiam permitir que um invasor com acesso native a um dispositivo obtivesse escalonamento de privilégios e execução de código no nível do kernel. As fraquezas já foram corrigidas pelo fabricante do chipset.
Também ocorre após a descoberta de uma nova falha de segurança em processadores AMD que poderia ser potencialmente explorada por um invasor com acesso ao kernel (também conhecido como Ring-0) para elevar privilégios e modificar a configuração do Modo de Gerenciamento do Sistema (SMM ou Ring-2), mesmo quando o Bloqueio do SMM estiver habilitado.
Apelidada de Sinkclose pela IOActive (também conhecida como CVE-2023-31315, pontuação CVSS: 7,5), a vulnerabilidade teria permanecido indetectável por quase duas décadas. O acesso aos níveis de privilégio mais altos em um computador significa que ele permite desabilitar recursos de segurança e instalar malware persistente que pode passar virtualmente despercebido.
Em declarações à WIRED, a empresa disse que a única maneira de remediar uma infecção seria conectar-se fisicamente às CPUs usando uma ferramenta baseada em {hardware} conhecida como programador SPI Flash e escanear a memória em busca de malware instalado usando o SinkClose.
“A validação inadequada em um registro específico de modelo (MSR) pode permitir que um programa malicioso com acesso ring0 modifique a configuração SMM enquanto o bloqueio SMI estiver habilitado, potencialmente levando à execução de código arbitrário”, observou a AMD em um comunicado, afirmando que pretende lançar atualizações para Fabricantes de Equipamentos Originais (OEM) para mitigar o problema.
