Birminghamin yliopiston tutkijat, jotka aiemmin tunnettiin Plundervolt- ja VoltPillager-hyökkäysten kehittäjistä, ovat tunnistaneet joidenkin palvelimien emolevyissä haavoittuvuuden (CVE-2022-43309), jonka avulla suorittimen voidaan fyysisesti poistaa käytöstä ilman mahdollisuutta palauttaa sitä myöhemmin. Haavoittuvuutta, koodinimeltään PMFault, voidaan hyödyntää sellaisten palvelimien vahingoittamiseen, joihin hyökkääjällä ei ole fyysistä pääsyä, mutta jolla on etuoikeutettu pääsy käyttöjärjestelmään, esimerkiksi hyödyntämällä korjaamatonta haavoittuvuutta tai sieppaamalla järjestelmänvalvojan tunnistetiedot.
Ehdotettu menetelmä hyödyntää I2C-protokollaa käyttävää PMBus-liitäntää prosessorille syötetyn jännitteen nostamiseksi tasoille, jotka voivat vahingoittaa sirua. PMBus-liitäntä on tyypillisesti toteutettu VRM:ssä (Voltage Regulator Module), johon päästään käsiksi BMC-ohjainta manipuloimalla. PMBus-liitäntää tukevien emolevyjen hyökkäämiseen tarvitaan käyttöjärjestelmän järjestelmänvalvojan oikeuksien lisäksi ohjelmiston pääsy BMC:hen (Baseboard Management Controller) esimerkiksi IPMI KCS (Keyboard Controller Style) -liitännän kautta, Ethernetin kautta tai flash-asentamalla BMC nykyisestä järjestelmästä.
Supermicron emolevyissä, joissa on IPMI-tuki (X11, X12, H11 ja H12), sekä ASRockissa on vahvistettu haavoittuvuus, joka mahdollistaa hyökkäyksen ilman BMC-todennustietojen tuntemusta. Myös muut PMBus-yhteyttä käyttävät palvelinlevyt ovat alttiita haavoittuvuudelle. Näillä levyillä tehdyissä kokeissa, joissa jännite nostettiin 2.84 volttiin, kaksi Intel Xeon -prosessoria vaurioitui. BMC:hen pääsemiseksi ilman todennustietojen tuntemusta, mutta käyttöjärjestelmän pääkäyttäjän oikeuksilla, hyödynnettiin laiteohjelmiston vahvistusmekanismin haavoittuvuutta. Tämä mahdollisti muokatun laiteohjelmistopäivityksen lataamisen BMC-ohjaimeen sekä todentamattoman käytön IPMI KCS:n kautta.
PMBus-jännitteen manipulointimenetelmää voidaan käyttää myös Plundervolt-hyökkäyksen suorittamiseen, joka mahdollistaa jännitteen pienentämisen minimiarvoihin, mikä voi korruptoida eristyksissä olevien Intel SGX -enklaavien laskennassa käytettyjen CPU-datasolujen sisältöä, mikä aiheuttaa virheitä alun perin oikeissa algoritmeissa. Esimerkiksi manipuloimalla kertolaskussa käytettävää arvoa salauksen aikana, tulostettava salausteksti on virheellinen. Käyttämällä SGX-käsittelijää datan salaamiseksi hyökkääjä voi aiheuttaa virheitä, kerätä tilastoja tulostettavan salaustekstin muutoksista ja palauttaa SGX-enklaaviin tallennetun avaimen arvon.
GitHubissa on julkaistu työkalupakki Supermicron ja ASRockin emolevyjen hyökkäämiseen sekä apuohjelma PMBus-yhteyden tarkistamiseen.
Lähde: opennet.ru
