作者comipa (绫崎若菜家御用)
看板PC_Shopping
标题Re: [情报] 研究人员揭露AMD晶片的Sinkclose漏洞,存
时间Mon Aug 12 20:31:36 2024
※ 引述《hn9480412 (ilinker)》之铭言:
很久没发文赚P币了 是时候稍微增加一下收入
就稍微来聊一下System Management Mode大概是什麽东西好了.
先引用一下英文Wiki, 中文有写跟没写一样..
https://en.wikipedia.org/wiki/System_Management_Mode
用很白话文很简单的比喻来说的话 他就是一个 时间暂停的魔眼
一旦启动 其他程序的时间包括作业系统 就像时间冻结了一样
这时候只有在SMM里面的人(程式码)还能活动 直到退出SMM
甚至作业系统搞到当机了, 除非CPU本身也完全凉透无法执行任何指令,
不然SMM在这情况下他应该都还能工作.
至於进入SMM的条件 就叫做SMI, System Management Interrupt.
他可以由单纯硬体触发 也可以从软体触发 要离开就由SMM里面的程式码去执行特殊指令
在SMM里面, 几本上就是可以为所欲为, 没有什麽东西可以限制你.
系统平台上近乎所有资源, 还有记忆体的内容, 通通在你的控制之中.
至於离开之後, 除非SMM本身程式是故意留下足迹, 不然外界理论上是有可能不知道
你在里面干了什麽好事的. 所以SMM本身必须是很重视安全性.
至於SMM里面要做什麽事情, 他本身也是一些程式码构成, 这时候你可能会想说.
这不是鸡生蛋蛋生鸡了吗? SMM一开始的程式码又是哪来的?
x86 CPU一开始开机的时候 多半会从SPI ROM读取程式 也就是我们俗称的BIOS/UEFI
而要准备用在SMM里面的程式码其实也包含在内 我们就以UEFI为例.
UEFI开机会去初始化记忆体 在这个阶段其实会预留4MB~8MB(好像吧,忘了)给SMM使用
这块记忆体是独占性的 然後在接下来初始化各种UEFI软体功能时 会载入一套
用在SMM里面的程式码到这块记忆体 然後将这块记忆体给标记锁住
一旦锁住之後 基本上就不允许修改记忆体中"可执行"的程式码部分, SMM以外的人
也再也无法看到这块内容 这边其实应该就是这次AMD漏洞会影响到的部分 等等会讲
当SMM程式码全数载入/锁定後, 也就相当於开启了SMM功能, 之後就可以从软硬体来
触发SMM.
举例来说我在另一篇文章提过 SPI的读写其实有一些保护机制 其中一个就是利用SMM,
透过不允许SMM以外的来源直接写入SPI ROM, 并让这个动作经过SMM程式码的验证
来达到避免入侵者修改程式码的目的.
: 研究人员揭露AMD晶片的Sinkclose漏洞,存在近20年
: 文/陈晓莉 | 2024-08-12发表
: 资安业者 IOActive的两名安全研究人员Enrique Nissim与Krzysztof Okupski在上周举行的
: Defcon骇客会议上,揭露了一个存在於AMD晶片的安全漏洞,被研究人员命名为Sinkclose的
: 漏洞将允许骇客於系统管理模式(System Management Mode,SMM)执行程式码,而且已存在
: 近20年。Sinkclose的漏洞编号为CVE-2023-31315,波及绝大多数的AMD处理器,从行动处理
: 器、桌面处理器、工作站处理器到资料中心处理器等,估计影响数亿台装置。
: 根据AMD的简要说明,CVE-2023-31315漏洞存在於模型特定暂存器(Model Specific Regist
: er,MSR)的验证不当,允许具备Ring 0存取权限的恶意程式,即便是在系统管理中断(Sys
: tem Management Interrupt,SMI)上锁时,都能修改SMM配置,因而可执行任意程式。
接下来就跳到这边 也就是上面讲的问题. SMM本来身为最高权限的程式码, 并且设计
上在锁定之後就不允许修改 从而保证程式码是安全的.
可是这边开了个洞 让入侵者有机会从OS阶段的ring0就直接修改SMM里面的东西
先不管这件事情的先决条件是什麽(原文也没有讲清楚).如果载入的OS本身 ring0也已
经被污染那就的确可以透过这个漏洞去入侵SMM, 再来就如上面的例子, 也许可以修改
SPI ROM内容了. SPI ROM被污染後 那下次开机执行的自然还是污染的程式码.
: 至於Nissim与Okupski则说,SMM为x86架构最强大的执行模式之一,该层级的程式码对於Hyp
: ervisor及作业系统等级的保护机制而言是不可见的,包括反欺骗引擎及反病毒系统;在研究
: AMD处理器时,他们发现用来保护SMM的一个重要元件含有缺陷,而且快20年了都没有被发现
: 。
: 即使研究人员并未公布详细的漏洞细节,也承诺尚不会释出概念性验证攻击程式,但他们向
: Wired透露,此一漏洞最早可追溯到2006年甚至更早之前的AMD晶片,但骇客必须先可存取AM
: D的PC或伺服器,之後扩张其权限,进而於晶片上植入无法受到系统或防毒软体侦测或保护的
: 恶意程式,就算是重新安装作业系统也无济於事。
: 这个意思就是,倘若使用者的AMD处理器已被骇客入侵,唯一的解法就是将它丢掉,没有其它
: 的修补方法。
至於这部分 濠洨吧=_= 原文好像也没这麽讲.
SMM也只不过就是 一个权限最高的"RAM", 所以除非你能写入SPI ROM,
不然开机他就会消失, 不存在什麽要丢掉. 就算SPI ROM被写入
完整重新改写SPI ROM也能够消除掉
除非CPU SOC内建SPI ROM还锁住不能改写..x86现在市面上应该没有这种东西
说到SMM在现代系统中的应用,大概有一些像是, 刚说的SPI保护
还有某些安全性验证, 或是一些厂商自订的介面/服务, 在Server则是有很重要的
RAS(可靠性、可用性和可维护性)应用, 的确可谓之重要而又脆弱.
其实之前UEFI三不五时就一直在修各种SMM漏洞, 像是利用buffer溢位之类有的没有
的东西去"骗" SMM里面的程式码作一些不该做的事情.
当然照这次的漏洞, 看起来好像是可以更直观的去改SMM程式, 的确是有相当高的危险性
不过x86阵营自然也有意识到SMM的缺点 最大的问题就是时间暂停这件事情
SMI一多必然会影响系统效能, 在大型Server时间就是金钱的世界中,x86阵营也一
直在尽量避免SMM的使用, 不久的将来也许就可以在周边条件符合的环境下,直接
关闭SMM功能了.
到这边P币就骗够了 谢谢各位的耐心观看:P
: 不过,不管是IOActive或AMD都认为要攻陷CVE-2023-31315漏洞并不容易。
: AMD已於上周修补了大多数的处理器,但并不打算修补AMD Ryzen 3000 Series桌面处理器,
: 使得有用户抱怨,3000系列是在2019年及2020年推出,它们存在还不到5年,还有很多人在使
: 用,也依然强大,呼吁AMD应该要重视这些用户。
: https://www.ithome.com.tw/news/164412
: Intel:你看AMD也有问题吧,我还送刺客教条还算佛了吧
: 水桶都听到咕噜咕噜的声音了
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.134.212.51 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PC_Shopping/M.1723465898.A.94D.html
1F:推 smallreader: 解惑给推111.254.177.213 08/12 20:35
2F:推 a58524andy: 科普推 149.22.87.140 08/12 20:37
3F:推 ericinttu: 跟我想的差不多 有看没有懂 114.44.142.32 08/12 20:39
4F:推 canandmap: 推 36.228.133.92 08/12 20:51
6F:推 Altair: 懂了 多重宇宙的另个我应该懂了180.217.211.250 08/12 21:01
7F:推 kuroshizu21: 得推一下, 其实真的还写得蛮容易理解 114.47.72.217 08/12 21:13
8F:→ kuroshizu21: 的, 可以明白这个事情大概是怎麽一回 114.47.72.217 08/12 21:14
9F:→ kuroshizu21: 事...至於专业的细节, 外行人的我当 114.47.72.217 08/12 21:14
10F:→ kuroshizu21: 然是不会懂, 也应该不需要懂(喂~~~ 114.47.72.217 08/12 21:15
11F:推 riverkid20: 好像跟我想的差不多,但我看不懂,推 36.234.100.176 08/12 21:18
12F:→ commandoEX: 简单来说就是历史共业(? 118.171.170.27 08/12 21:18
13F:推 endorphin424: 推简单明白,所以这东西就是时代必 27.247.195.46 08/12 21:20
14F:→ endorphin424: 然产物,以後有机会淘汰就是了对吧 27.247.195.46 08/12 21:20
15F:推 sellgd: 在电虾推 跟我想的差不多 是政确的事吗? 113.61.227.70 08/12 21:20
16F:推 jhjhs33504: 这跟Intel ME的漏洞应该是差不多严重 36.228.23.163 08/12 21:25
17F:→ jhjhs33504: 架构问题比较难完全修复最好直接蛋雕 36.228.23.163 08/12 21:25
跟Intel ME严格说来是不太一样. ME漏洞会直接暴露出来让人可以直接攻击,入侵後就
基本无敌什麽都能做,要偷资料要改SPI, 应该都可以做得到.
SMM漏洞照说明你得要先想办法入侵OS取得ring0权限, 然後再跑进SMM去偷做事
不过修复上我就不知道这次对於AMD来说好不好修理.
SMM本身并不是造成漏洞的主要因素, 问题是在CPU锁定SMM要用到的RAM,又叫SMRAM
这个锁定机制的安全性现在有问题. 所以如果AMD能在AGESA又或是microcode去修改
锁定机制应该就ok.
18F:推 abc21086999: 听起来是A片的情节 220.136.194.70 08/12 21:28
19F:推 Suicopas: 推 59.126.46.72 08/12 22:13
20F:推 orze04: 可以篡改ring0 的部分,那一堆事都可以办 114.136.57.150 08/12 22:35
21F:→ orze04: 到了 114.136.57.150 08/12 22:35
22F:推 v86861062: 推推 220.134.60.79 08/12 22:36
24F:推 DivineSX: 推 114.40.165.55 08/12 22:40
25F:推 yymeow: 专业推推 114.37.16.242 08/12 22:41
26F:推 dos01: 我还是没很懂 看起来SMM就是一个弊大於利 182.155.78.98 08/12 22:41
27F:→ dos01: 的东西 为什麽还要让他继续存在? 182.155.78.98 08/12 22:41
因为几十年来大家都是这麽过的(X)
28F:推 avans: 推浅显易懂的解说! 42.79.174.79 08/12 22:55
29F:推 wahaha99: 我猜 存在的理由就是为了相容 118.169.16.33 08/12 23:02
30F:→ wahaha99: 相容些很古老、很底层的东西 118.169.16.33 08/12 23:02
31F:推 albertfeng: 推科普 虽然我看不懂 122.117.6.9 08/12 23:09
33F:推 futakinohi: 跟我想的一样 223.140.116.78 08/12 23:14
34F:推 cancelpc: 就跟Intel的ME一样太上皇111.249.135.146 08/12 23:17
35F:推 x20165: 关机还能入侵吗?111.246.123.215 08/12 23:35
不能
36F:推 jacky40383: 嗯 好 懂了 111.240.77.228 08/12 23:41
37F:推 Arbin: 但这感觉是CPU的太上皇 不像ME管很多?220.136.220.210 08/12 23:49
SMM是CPU的隐藏第二人格
ME是隐形地缚灵管家, CPU是住在这个家的人.
38F:推 orangesabc: 看不懂 42.72.234.151 08/12 23:56
39F:推 sdbb: 谢谢 112.104.64.201 08/13 00:24
40F:推 s25g5d4: 不是 拿掉洞越多阿 韧体直接随便改欸 1.34.245.37 08/13 00:31
没错你拔掉以前能靠SMM挡住的一些东西又要另外处理了
41F:推 ohmylove347: 知识推 1.160.86.235 08/13 00:40
42F:推 wild2012: 意思就是 一般人无所谓 server有点影响 61.231.136.183 08/13 00:51
43F:→ wild2012: 比起INTEL 根本不算个事... 61.231.136.183 08/13 00:52
理论上当然是Server影响比较大, 毕竟上面还会跑一些重要的服务, 又真正关系到
资安问题
对於client来说,要怎麽从这个漏洞去盗取你的重要资料, 以这个年代来说
也就是一些帐号密码, 那是另外一个故事了.
44F:推 yys310: 推推 140.114.18.126 08/13 01:13
45F:→ jjjj222: 基本上关心这种资安的东西, 就会知道 123.193.198.55 08/13 02:04
46F:→ jjjj222: 一堆研究结果的触发条件都很严苛... 123.193.198.55 08/13 02:04
47F:→ jjjj222: 看多了以後我都懒得看了.. 真的太难 123.193.198.55 08/13 02:05
48F:→ jjjj222: 反正我资料的价值绝对<<<他们要花的资源 123.193.198.55 08/13 02:06
49F:推 bitcch: 感谢科普 之前还不知道有这东西 101.10.97.141 08/13 02:30
50F:推 not5566: 魔眼4什麽 114.136.98.190 08/13 03:09
窝不知道, 可能要问小姐姐
51F:→ tomsawyer: 听起来对标的是intel ME? 1.200.97.150 08/13 03:44
不是喔, 其实有很大的差别.
与Intel ME同等地位的, 目前来说算是AMD PSP, ARM上可以把他想成类似XCP.
跟SMM完全不同的地方在於
Intel ME/ AMD PSP本身不是跑在你主要CPU上的
他们两个都是在PCH or CPU SOC上面有多埋一颗小晶片,ME好像是类似atom架构
PSP则其实是一颗小ARM. 这个小晶片才是在执行ME/PSP的人.
SMM真正要找个对应的东西的话, 他比较像是ARM的Trust Zone.
都是在同一颗主晶片上分割一部分资源来执行,
SMM/TrustZone都有高於一般程序的权限, 而且对一般程序来说这两个都
像是隐形人. 不过TrustZone的执行不像SMM会整个进入时间暂停一样的状态
52F:推 jay0215: 有看有推!118.167.230.105 08/13 04:58
53F:推 jyhfang: 厉害 谢分享 220.134.41.251 08/13 05:01
54F:推 ltytw: 快推 免的别人以为我 114.33.46.227 08/13 07:06
55F:→ quamtum: 如果都能改bios,那一开始就进smm就好, 61.230.27.193 08/13 07:10
56F:→ quamtum: 不用使用任何漏洞 61.230.27.193 08/13 07:11
57F:→ quamtum: smm可以做很多事,例如bios gui的usb 61.230.27.193 08/13 07:12
58F:→ quamtum: driver可以放在这 61.230.27.193 08/13 07:12
59F:→ quamtum: windows/linux也会利用smi做想做的事情, 61.230.27.193 08/13 07:14
60F:→ quamtum: 拿掉很多os需要改 61.230.27.193 08/13 07:14
其实以Windows/Linux来说 他本身是不需要SMI的.
SMM设计上其实就是故意要独立於OS之外, 让OS看不见他
但Windows下/Linux下有没有会遇到SMI的状况呢? 还是有.
要举例又要提到SPI写入, 例如当Windows/Linux需要写入UEFI variable,
他会呼叫UEFI service, 然後uefi service会转发SMI进SMM再去写入SPI ROM.
对OS来说其实他是不知道後半段UEFI service发了SMI这件事情的.
另外一个例子是shutdown或是sleep, 这个部分则是晶片组会在收到OS要求shutdown/
sleep要求时, 发出SMI, 再跑去SMM里面处理一些前置作业, 才进入shutdown/sleep.
※ 编辑: comipa (36.225.63.74 台湾), 08/13/2024 07:53:24
61F:推 azumanga: 推。 114.33.215.99 08/13 07:56
62F:推 cmshow: 推科普长知识 118.231.145.57 08/13 08:39
63F:推 warshipchiu: 专业推 27.242.128.143 08/13 09:24
64F:推 pttbeigowow: 那该买amd还是intel 请大大解惑101.137.179.224 08/13 09:29
65F:推 skyclam: 能让smm driver被置换掉,代表oem完全没 111.83.32.78 08/13 09:43
66F:→ skyclam: 对spi rom做加密, 三好加一好而已 111.83.32.78 08/13 09:43
67F:→ kaltu: 这是整个攻击链第二步以後要用到的东西,不 100.8.245.106 08/13 09:45
68F:→ kaltu: 能说不是第一步所以就不用管 100.8.245.106 08/13 09:45
69F:→ kaltu: 另外说只有server要在意也是常见的迷思,任 100.8.245.106 08/13 09:45
70F:→ kaltu: 何人,在这个远端工作的时代,只要你的电脑 100.8.245.106 08/13 09:45
71F:→ kaltu: 里有存取你公司的帐号密码,你就是有价值目 100.8.245.106 08/13 09:45
72F:→ kaltu: 标 100.8.245.106 08/13 09:45
73F:→ kaltu: 就算你任职的公司也不怎麽重要,只要你公司 100.8.245.106 08/13 09:45
74F:→ kaltu: 的某个其他部门有跟稍微重要一点的其他客户 100.8.245.106 08/13 09:45
75F:→ kaltu: 有系统上的连线就有价值 100.8.245.106 08/13 09:45
76F:→ kaltu: 不是你本身有价值而是你的存取权有价值 100.8.245.106 08/13 09:45
77F:→ kaltu: 很多人以为自己不过就是个小咖不用怕,这种 100.8.245.106 08/13 09:45
78F:→ kaltu: 心态就是出事的前奏,你作为整个攻击链的一 100.8.245.106 08/13 09:45
79F:→ kaltu: 个小踏板还是有攻击价值的 100.8.245.106 08/13 09:45
80F:→ kaltu: 另外其实SMM就把他想成虚拟机控制器就好了 100.8.245.106 08/13 09:48
81F:→ kaltu: ,你的作业系统是在他之後的,平时都很透明 100.8.245.106 08/13 09:48
82F:→ kaltu: ,但要搞事的时候理论上更高层的程式包含作 100.8.245.106 08/13 09:48
83F:→ kaltu: 业系统在内,是不会知道他干了什麽的 100.8.245.106 08/13 09:48
84F:推 Glacier319: 之前windows不支援thunderbolt 所 42.75.237.7 08/13 10:08
85F:→ Glacier319: 以driver做不到的部分都是靠BIOS里 42.75.237.7 08/13 10:08
86F:→ Glacier319: 的SMI去硬搞 快速插拔几次後window 42.75.237.7 08/13 10:08
87F:→ Glacier319: s就蓝屏了 42.75.237.7 08/13 10:08
88F:推 Garrys: 推! 114.42.196.86 08/13 11:38
89F:推 Amulet1: 看懂了 AMD YES 61.222.194.233 08/13 13:30
90F:推 wei115: 不是太懂,uefi载入不是会有验证,所以修 27.52.101.1 08/13 15:07
91F:→ wei115: 改後的uefi无法启动,但为什麽可以改spi 27.52.101.1 08/13 15:07
92F:→ wei115: rom後还能启动? 27.52.101.1 08/13 15:07
93F:→ wei115: 喔喔,看到前一篇文有解释了,原来是系统 27.52.101.1 08/13 15:09
94F:→ wei115: 厂没开 27.52.101.1 08/13 15:09
理由:
1.系统厂没开AMD提供的验证机制(Platform Secure Boot)
2.UEFI部分本身的验证有可能被干掉
要讲这个会讲到root of trust/chain of trust的概念. 下次好了:P
※ 编辑: comipa (36.225.63.74 台湾), 08/13/2024 15:35:17
95F:推 xiaotee: 谢谢科普 101.8.41.34 08/13 17:32
96F:推 smallreader: platform secure boot多一个字,是不 223.139.135.3 08/13 17:47
97F:→ smallreader: 是跟安全开机不一样的东西? 223.139.135.3 08/13 17:47
98F:推 KonBanwarire: sb是edk2的吧,amd psp相关的东西 49.216.17.140 08/13 17:53
99F:→ KonBanwarire: 也不是系统厂想关就关的 49.216.17.140 08/13 17:53
100F:推 skyclam: psb跟secure boot是不一样的东西喔 111.83.32.78 08/13 18:06
没错 他是不同的东西 虽然都是安全性相关
就乾脆顺便讲下好了.
UEFI的secure boot是什麽? 简单来说就只是 验证"将要执行"的模组的可靠性
问题在於 那从CPU开机第一时间拾取程式码的时候, 谁知道这个程式码可不可靠?
这就是所谓的root of trust, 你的整个系统平台上谁来负责做第一棒安全性验证的问题
以纯UEFI没有其他机制辅助的情境会变成:
1. CPU fetch UEFI (SEC/PEI/DXE...etc)
2. UEFI 安全性模组启动
3. UEFI 安全性模组负责在接下来的模组要被执行的时候一一做安全性验证
4. UEFI 安全性模组最後要验证OS的开机程序
5. 交棒给OS
所以在#2之前其实也没有办法保证安全性
AMD 的Platform Secure Boot或是其他厂商的类似功能就是在
#1之前(或同时)就去验证整个UEFI又或是其他韧体的可靠性
接着才允许CPU开始执行fetch来的程式, 在这里他就是root of trust的角色
而且这个root of trust同时必须保证自己的安全性
所以通常会搭配某种机制让平台上可以去进行某种绑定以策安全
然後我们跟着上面的途径走, #2以後负责验证的这个角色换成了UEFI安全性模组
在系统有多个韧体模组的情况下, 这就会像是接力赛跑一样, 负责做验证的人一棒
一棒往下接力,这个就是所谓的chain of trust.
※ 编辑: comipa (220.134.212.51 台湾), 08/13/2024 19:49:36
※ 编辑: comipa (220.134.212.51 台湾), 08/13/2024 19:50:49
※ 编辑: comipa (220.134.212.51 台湾), 08/13/2024 19:51:35
※ 编辑: comipa (220.134.212.51 台湾), 08/13/2024 19:54:36
101F:推 smallreader: 想再问Windows里面有个驱动(系统装置111.254.177.213 08/13 20:05
102F:→ smallreader: )叫 dynamic root of trust 也是应用111.254.177.213 08/13 20:05
103F:→ smallreader: 到同一个root of trust来源吗~?111.254.177.213 08/13 20:05
104F:→ smallreader: 自动更新所装的这个DRTM不晓得是什麽111.254.177.213 08/13 20:08
105F:推 smallreader: 谢谢,查完看到DRTM也是开机最初载入111.254.177.213 08/13 20:22
106F:→ smallreader: 不受信任的代码,没有处理#1之前验证111.254.177.213 08/13 20:22
107F:推 skyclam: 厂商不肯开psb多半是想保留cpu的二手市223.141.244.140 08/13 20:40
108F:→ skyclam: 场吧,开了会锁cpu的223.141.244.140 08/13 20:40
109F:→ smallreader: 哇靠 开了会锁CPU 一种苹果T1的概念?111.254.177.213 08/13 20:48
110F:推 weimr: 推 61.224.132.146 08/13 22:04
111F:→ commandoEX: 没有二手市场厂商比较爽吧 118.171.170.27 08/13 22:59
112F:→ yunf: 简单来说就是有人可以潜伏在你的主机板里面 101.12.22.71 08/14 00:01
113F:→ yunf: 就算你还原系统也没有用 解决方法就是 离线 101.12.22.71 08/14 00:01
114F:→ yunf: 还原系统 更新补丁 包括覆写 bios 再上线更 101.12.22.71 08/14 00:01
115F:→ yunf: 厉害一点的就是把它备份起来再把恶意程式抓 101.12.22.71 08/14 00:01
116F:→ yunf: 出来看他里面到底是什麽 101.12.22.71 08/14 00:01
117F:→ yunf: 再修正一下可能是任何硬体 说不定存在於可程 101.12.22.71 08/14 00:04
118F:→ yunf: 式化的电竞滑鼠面 还有无线网路设备都有可能 101.12.22.71 08/14 00:04
119F:→ yunf: 只要是他能够被改写系统会读取的都有可能 101.12.22.71 08/14 00:04
120F:→ yunf: 其实这都还只是在讲程式化的部分都还没有讲 101.12.22.71 08/14 00:09
121F:→ yunf: 到晶片的部分 101.12.22.71 08/14 00:09
122F:推 wardraw: 知识有长有推 124.11.129.176 08/14 10:52
123F:推 ry3298: 推 111.248.145.70 08/15 00:24