Forscher der Universität Birmingham, die zuvor für die Entwicklung der Plundervolt- und VoltPillager-Angriffe bekannt war, haben in einigen Server-Motherboards eine Schwachstelle (CVE-2022-43309) identifiziert, die die CPU physisch deaktivieren kann, ohne dass eine anschließende Wiederherstellung möglich ist. Die Sicherheitslücke mit dem Codenamen PMFault kann dazu genutzt werden, Server zu beschädigen, auf die ein Angreifer keinen physischen Zugriff, aber privilegierten Zugriff auf das Betriebssystem hat, beispielsweise durch die Ausnutzung einer nicht gepatchten Sicherheitslücke oder das Abfangen von Administrator-Anmeldeinformationen.
Der Kern der vorgeschlagenen Methode besteht darin, die dem Prozessor zugeführte Spannung über die PMBus-Schnittstelle, die das I2C-Protokoll verwendet, auf Werte zu erhöhen, die den Chip beschädigen. Die PMBus-Schnittstelle ist normalerweise im VRM (Voltage Regulator Module) implementiert, auf das durch Manipulation des BMC-Controllers zugegriffen werden kann. Um Boards anzugreifen, die PMBus unterstützen, benötigen Sie zusätzlich zu Administratorrechten im Betriebssystem programmgesteuerten Zugriff auf den BMC (Baseboard Management Controller), beispielsweise über die IPMI KCS-Schnittstelle (Keyboard Controller Style), über Ethernet oder über Flashen des BMC vom aktuellen System.
Ein Problem, das einen Angriff ohne Kenntnis der Authentifizierungsparameter im BMC ermöglicht, wurde bei Supermicro-Motherboards mit IPMI-Unterstützung (X11, Im Zuge der Experimente kam es bei einem Spannungsanstieg auf 12 Volt zu Schäden an zwei Intel-Xeon-Prozessoren auf diesen Platinen. Um auf den BMC zuzugreifen, ohne die Authentifizierungsparameter zu kennen, aber mit Root-Zugriff auf das Betriebssystem, wurde eine Schwachstelle im Firmware-Verifizierungsmechanismus ausgenutzt, die es ermöglichte, ein modifiziertes Firmware-Update auf den BMC-Controller herunterzuladen, sowie die Möglichkeit dazu unauthentifizierter Zugriff über IPMI KCS.
Die Spannungsänderungsmethode über PMBus kann auch zur Durchführung eines Plundervolt-Angriffs verwendet werden, der es ermöglicht, durch Absenken der Spannung auf Mindestwerte den Inhalt von Datenzellen in der CPU zu beschädigen, die für Berechnungen in isolierten Intel SGX-Enklaven verwendet werden, und Fehler zu erzeugen in zunächst korrekten Algorithmen. Wenn Sie beispielsweise den bei der Multiplikation verwendeten Wert während des Verschlüsselungsprozesses ändern, ist die Ausgabe ein ungültiger Chiffretext. Durch die Möglichkeit, einen Handler im SGX aufzurufen, um seine Daten zu verschlüsseln, kann ein Angreifer durch das Verursachen von Fehlern Statistiken über die Änderung im ausgegebenen Chiffretext sammeln und den Wert des in der SGX-Enklave gespeicherten Schlüssels wiederherstellen.
Auf GitHub werden ein Toolkit zum Angriff auf Supermicro- und ASRock-Boards sowie ein Dienstprogramm zur Überprüfung des Zugriffs auf PMBus veröffentlicht.
Source: opennet.ru