伯明翰大学的研究人员以前因开发 Plundervolt 和 VoltPillager 攻击而闻名,他们在某些服务器主板中发现了一个漏洞 (CVE-2022-43309),该漏洞可以物理禁用 CPU,而没有后续恢复的可能性。 该漏洞代号为 PMFault,可用于破坏攻击者无法物理访问但具有操作系统特权访问权限的服务器,例如,通过利用未修补的漏洞或拦截管理员凭据获得。
所提出的方法的本质是使用 PMBus 接口,它使用 I2C 协议,将提供给处理器的电压增加到导致芯片损坏的值。 PMBus 接口通常在 VRM(电压调节器模块)中实现,可以通过操作 BMC 控制器来访问。 要攻击支持 PMBus 的板,除了操作系统中的管理员权限外,您还必须具有对 BMC(底板管理控制器)的编程访问权限,例如,通过 IPMI KCS(键盘控制器样式)接口、通过以太网或通过从当前系统刷写 BMC。
在支持 IPMI 的 Supermicro 主板(X11、X12、H11 和 H12)和 ASRock 中已确认允许在不知道 BMC 中的身份验证参数的情况下进行攻击的问题,但其他可以访问 PMBus 的服务器主板也受到影响。 在实验过程中,当电压增加到 2.84 伏时,这些板上的两个英特尔至强处理器就会损坏。 为了在不知道身份验证参数的情况下访问 BMC,但具有对操作系统的 root 访问权限,固件验证机制中的一个漏洞被利用,这使得可以将修改后的固件更新下载到 BMC 控制器,以及可能通过 IPMI KCS 进行未经身份验证的访问。
通过 PMBus 的电压变化方法也可用于执行 Plundervolt 攻击,它允许通过将电压降低到最小值,对隔离的英特尔 SGX 飞地中用于计算的 CPU 中的数据单元的内容造成损坏并产生错误在最初正确的算法中。 例如,如果您在加密过程中更改乘法中使用的值,则输出将是无效密文。 通过能够调用 SGX 中的处理程序来加密他们的数据,攻击者可以通过导致失败来累积有关输出密文更改的统计信息,并恢复存储在 SGX 飞地中的密钥值。
GitHub 上发布了一个用于攻击 Supermicro 和 ASRock 板的工具包,以及一个用于检查 PMBus 访问的实用程序。
来源: opennet.ru