Birminghamin yliopiston tutkijat, jotka tunnettiin aiemmin Plundervolt- ja VoltPillager-hyökkäysten kehittämisestä, ovat havainneet joissakin palvelimien emolevyissä haavoittuvuuden (CVE-2022-43309), joka voi fyysisesti poistaa prosessorin käytöstä ilman mahdollisuutta myöhempään palautumiseen. Haavoittuvuutta, koodinimeltään PMFault, voidaan käyttää vaurioittamaan palvelimia, joihin hyökkääjällä ei ole fyysistä pääsyä, mutta jolla on etuoikeutettu käyttöoikeus käyttöjärjestelmään, joka on saatu esimerkiksi korjaamattoman haavoittuvuuden hyödyntämisen tai järjestelmänvalvojan tunnistetietojen sieppaamisen seurauksena.
Ehdotetun menetelmän ydin on käyttää I2C-protokollaa käyttävää PMBus-liitäntää prosessorille syötettävän jännitteen lisäämiseksi arvoihin, jotka aiheuttavat vaurioita sirulle. PMBus-rajapinta on yleensä toteutettu VRM:ssä (Voltage Regulator Module), johon pääsee käsiksi BMC-ohjainta käsittelemällä. Jotta voit hyökätä PMBus-tukikortteja vastaan, sinulla on käyttöjärjestelmän järjestelmänvalvojan oikeuksien lisäksi oltava ohjelmallinen pääsy BMC:hen (Baseboard Management Controller), esimerkiksi IPMI KCS (Keyboard Controller Style) -rajapinnan kautta, Ethernetin kautta tai BMC:n vilkkuminen nykyisestä järjestelmästä.
Ongelma, joka sallii hyökkäyksen tietämättä BMC:n todennusparametreja, on vahvistettu Supermicro-emolevyissä, joissa on IPMI-tuki (X11, X12, H11 ja H12) ja ASRockissa, mutta se vaikuttaa myös muihin palvelinkortteihin, joilta PMBus on käytettävissä. Kokeiden aikana jännitteen noustessa 2.84 volttiin näissä korteissa vaurioitui kaksi Intel Xeon -prosessoria. Päästäksesi BMC:hen tuntematta todennusparametreja, mutta pääkäyttäjän oikeuksilla käyttöjärjestelmään käytettiin laiteohjelmiston vahvistusmekanismin haavoittuvuutta, joka mahdollisti muunnetun laiteohjelmistopäivityksen lataamisen BMC-ohjaimeen sekä mahdollisuuden todentamaton pääsy IPMI KCS:n kautta.
PMBus-väylän kautta tapahtuvaa jännitteenmuutosmenetelmää voidaan käyttää myös Plundervolt-hyökkäyksen suorittamiseen, mikä mahdollistaa alentamalla jännitteen minimiarvoihin, vaurioittaa eristetyissä Intel SGX -enklaaveissa laskelmissa käytetyn CPU:n datasolujen sisältöjä ja tuottaa virheitä. aluksi oikeilla algoritmeilla. Jos esimerkiksi muutat kertolaskussa käytettyä arvoa salausprosessin aikana, tulos on virheellinen salateksti. Pystyessään kutsumaan SGX:n käsittelijää salaamaan tietonsa, hyökkääjä voi virheitä aiheuttamalla kerätä tilastoja tulosteen salatekstin muutoksesta ja palauttaa SGX-enklaaviin tallennetun avaimen arvon.
GitHubissa on julkaistu työkalupakki Supermicro- ja ASRock-kortteja vastaan hyökkäämiseen sekä apuohjelma PMBus-yhteyksien tarkistamiseen.
Lähde: opennet.ru