Výzkumníci z University of Birmingham, dříve známí vývojem útoků Plundervolt a VoltPillager, identifikovali zranitelnost (CVE-2022-43309) v některých základních deskách serverů, která může fyzicky deaktivovat CPU bez možnosti následné obnovy. Zranitelnost s kódovým označením PMFault může být použita k poškození serverů, ke kterým útočník nemá fyzický přístup, ale má privilegovaný přístup k operačnímu systému, získaný například v důsledku zneužití neopravené chyby zabezpečení nebo zachycení přihlašovacích údajů správce.
Podstatou navrhované metody je využít rozhraní PMBus, které využívá protokol I2C, ke zvýšení napětí dodávaného do procesoru na hodnoty, které způsobí poškození čipu. Rozhraní PMBus je obvykle implementováno v modulu VRM (Voltage Regulator Module), ke kterému lze přistupovat manipulací s ovladačem BMC. K útoku na desky, které podporují PMBus, musíte mít kromě administrátorských práv v operačním systému i programový přístup k BMC (Baseboard Management Controller), například přes rozhraní IPMI KCS (Keyboard Controller Style), přes Ethernet nebo přes flashování BMC z aktuálního systému.
Problém, který umožňuje útok bez znalosti ověřovacích parametrů v BMC, byl potvrzen u základních desek Supermicro s podporou IPMI (X11, X12, H11 a H12) a ASRock, ale ovlivněny jsou i další serverové desky, na kterých lze přistupovat k PMBus. V průběhu experimentů, kdy se napětí zvýšilo na 2.84 V, byly na těchto deskách poškozeny dva procesory Intel Xeon. Pro přístup k BMC bez znalosti autentizačních parametrů, ale s přístupem root k operačnímu systému, byla využita zranitelnost v mechanismu ověřování firmwaru, která umožnila stažení upravené aktualizace firmwaru do řadiče BMC a také možnost neověřený přístup přes IPMI KCS.
Metodu změny napětí přes PMBus lze také použít k provedení útoku Plundervolt, který umožňuje snížením napětí na minimální hodnoty způsobit poškození obsahu datových buněk v CPU používaných při výpočtech v izolovaných enklávách Intel SGX a generovat chyby. v původně správných algoritmech. Pokud například změníte hodnotu použitou při násobení během procesu šifrování, výstupem bude neplatný šifrovaný text. Tím, že je schopen zavolat obsluhu v SGX, aby zašifroval jejich data, může útočník způsobením selhání shromažďovat statistiky o změně výstupního šifrového textu a obnovit hodnotu klíče uloženého v enklávě SGX.
Na GitHubu je zveřejněna sada nástrojů pro útok na desky Supermicro a ASRock a také utilita pro kontrolu přístupu k PMBus.
Zdroj: opennet.ru