威盛cpu

威盛cpu
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
BlackHat 2018 | 解锁上帝模式：威盛X86 CPU中的硬件后门 Freddy2018-08-14共116368人围观 ，发现 5 个不明物体 资讯
前言
在Black Hat 2018大会上，著名的硬件安全专家Christopher Domas展示了他如何找到多款不同型号CPU中可能存在的后门。

VIA C3 CPU

Black Hat 2018是安全领域顶尖好手集聚一堂的地方，发言人没有点东西压根吸引不了与会者的注意。所以在演讲中能够收获数百人的掌声，已经算是很成功了。 而Christopher Domas在Black Hat 2018大会上的演讲，开场不到五分钟大家的掌声就一浪接着一浪，他带了的议题是“如何打破现代CPU安全机制——特权层保护模型（ring-privilege model） 。

漏洞解析
在硬件中，不同类型的指令被分配为不同的”特权层（Ring）”，应用属于第3层（Ring3），而系统内核就处于第0层（Ring0）。

Ring模型

Christopher的研究对象是基于x86架构的威盛C3处理器，该处理器是由台湾VIA Technologies Inc于2001年至2003年间生产和销售的CPU，这款产品多用于自动售货机、智能信息亭、ATM、游戏设备、医用设备和工业自动化设备等领域。

在演示中，Christopher将原本属于Ring3的应用指令提权至Ring0层，比大多数安全软件所拥有的运行权限更高，以此绕过当今反恶意软件和硬件控制系统所使用的绝大多数技术。

这个后门机制来源于C3主处理器核心旁隐藏的RISC协处理器，被Christopher称为Rosenbridge。通过使用启动指令（.byte 0x0f，0x3f），他可以翻转一个寄存器控制位，启用协处理器，该处理器不会继承C3芯片的相同安全保护机制。发送到该协处理器的任何指令都在Ring0层运行，而不是在Ring3层运行。

rosenbridge.gif

Christopher在VIA C3 Nehemiah芯片中发现了这种可以解锁“上帝模式”机制，他表示所有其他C3芯片组也采用类似的机制。

专家质疑
在Twitter和Reddit等社交媒体网站上，有几位硬件专家对Christopher的研究成果提出了异议，认为Rosenbridge可能不是真正的后门，因为2004年9月威盛就在其官方文档中提供了相关信息。

据该文档所示，隐藏该RISC协处理器的目的是提供“备用指令集”，为硬件供应商（OEM）提供对CPU的更多控制。这个备用指令集包括一组扩展的整数、MMX、浮点和3DNow！指令，以及x86指令架构上的附加寄存器和一些更强大的指令形式。该文档还特别指出附加指令集专门用于测试、调试或其他特殊条件，因此不会提供“一般用法”。

作者释疑
Christopher表示上述几位专家的看法是合理的。想利用Rosenbridge做一些坏事没有那么容易，它需要内核级的访问才能启用，就怕某些情况下它是默认启用的，这样一来就允许任何非特权代码修改内核，只需将特制的指令发送到RISC处理器，这些处理器即可读取并执行。

Christopher还在GitHub上发布了一系列工具，包括用于识别VIA C3 x86 CPU是否包含Rosenbridge“后门”机制的工具，还支持将其关闭以防止任何可能滥用行为。

针对威盛C3芯片的研究不是Christopher在x86芯片组安全性方面的首次尝试。三年前，在Black Hat 2015大会上，他还详细介绍了一种类似的方法，通过系统管理模式（SMM）功能提升x86 CPU中恶意代码的运行权限，英特尔和基于AMD x86的处理器均受到了影响。

*参考来源： Bleeping Computer，Freddy编译整理，转载请注明来自 FreeBuf.COM。

Freddy
Freddy
62 篇文章
等级： 7级
||
上一篇：探访斗象科技能力中心 | 原来他们每天都在做这种事下一篇：DEF CON 2018 | 社会工程学专家的炫技时刻
发表评论已有 5 条评论

123123 2018-08-14回复 1楼
天朝的x86就是VIA的，这么说。。。。。。

亮了(2)

小白 2018-08-14回复
@ 123123 撸自动贩卖机去

亮了(0)

zed1988 2018-08-15回复
@ 123123 有资格和via扯上关系? 往自己脸上贴金吧 ,这多少年 了.专业骗补助的, 想想当年的汉芯事件吧

亮了(0)

八宝粥 (1级) 渴望更多知识 2018-08-14回复 2楼
请问工具在那里下载呢？github直接搜索Rosenbridge？

亮了(0)

八宝粥 (1级) 渴望更多知识 2018-08-14回复
@ 八宝粥 哦 我自己解决了不用了.

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
Freddy
Freddy

这家伙太懒，还未填写个人描述！

62
文章数
13
评论数
最近文章
快讯 | 疑似30万玖融网用户数据被挂暗网，仅售1个比特币
2018.11.20

快讯 | 谁干的？暗网最大网络托管商被黑，6500个网站遭彻底删除
2018.11.19

BUF早餐铺 | Pwn2Own：Galaxy S9、iPhone X和小米Mi6成为赚取奖金的对象；Facebook再曝漏洞，可使私人信息泄露；西门子修复防火墙漏洞，确保运营商安全
2018.11.16

浏览更多
相关阅读
BlackHat 2018 | 解锁上帝模式：威盛X86 CPU中的硬件后门BlackHat 2018 | 热点议题前瞻，今年的猛料都在这儿！
CNNVD关于多个蓝牙协议安全漏洞情况的通报祸不单行，外媒爆料Facebook收集用户通话和短信数据多年针对数个前苏联国家使馆的网络间谍活动
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank