Výskumníci z University of Birmingham, ktorí boli predtým známi vývojom útokov Plundervolt a VoltPillager, identifikovali zraniteľnosť (CVE-2022-43309) v niektorých základných doskách serverov, ktorá umožňuje fyzické vypnutie CPU bez možnosti jeho následnej obnovy. Zraniteľnosť s kódovým označením PMFault môže byť použitá na poškodenie serverov, ku ktorým útočník nemá fyzický prístup, ale má privilegovaný prístup k operačnému systému, získaný napríklad zneužitím neopravenej zraniteľnosti alebo zachytením poverení správcu.
Podstatou navrhovanej metódy je použitie rozhrania PMBus, ktoré využíva protokol I2C, na zvýšenie napätia dodávaného do procesora na hodnoty, ktoré spôsobujú poškodenie čipu. Rozhranie PMBus je zvyčajne implementované vo VRM (module regulátora napätia), ku ktorému je možné pristupovať manipuláciou s ovládačom BMC. Na vykonanie útoku na dosky, ktoré podporujú PMBus, musíte mať okrem administrátorských práv v operačnom systéme aj softvérový prístup k BMC (Baseboard Management Controller), napríklad cez rozhranie IPMI KCS (Keyboard Controller Style), cez Ethernet alebo flashovaním BMC z aktuálneho systému.
Problém, ktorý umožňuje vykonať útok bez znalosti autentifikačných parametrov v BMC, bol potvrdený na základných doskách Supermicro s podporou IPMI (X11, X12, H11 a H12) a ASRock, ale sú to aj iné serverové dosky, ktoré majú prístup k PMBus. postihnutých. Počas experimentov, keď sa napätie na týchto doskách zvýšilo na 2.84 voltov, došlo k poškodeniu dvoch procesorov Intel Xeon. Pre prístup k BMC bez znalosti autentifikačných parametrov, ale s root prístupom k operačnému systému, bola použitá zraniteľnosť v mechanizme overovania firmvéru, ktorá umožnila nahrať upravenú aktualizáciu firmvéru do radiča BMC, ako aj možnosť neoverený prístup cez IPMI KCS.
Na uskutočnenie útoku Plundervolt je možné použiť aj metódu zmeny napätia cez PMBus, ktorá umožňuje znížením napätia na minimálne hodnoty spôsobiť poškodenie obsahu dátových buniek v CPU používaných na výpočty v izolovaných enklávach Intel SGX. a generovanie chýb v pôvodne správnych algoritmoch. Ak napríklad zmeníte hodnotu použitú pri násobení počas procesu šifrovania, výstupom bude nesprávny šifrovaný text. Tým, že má útočník prístup k handleru v SGX na zašifrovanie jeho údajov, môže spôsobením zlyhaní zhromažďovať štatistiky o zmenách vo výstupnom šifrovom texte a obnoviť hodnotu kľúča uloženého v enkláve SGX.
Nástroje na vykonanie útoku na dosky Supermicro a ASRock, ako aj pomôcka na kontrolu prístupu k PMBus, sú zverejnené na GitHub.
Zdroj: opennet.ru